當(dāng)前位置:首頁 >  IDC >  CDN >  正文

防火墻與CDN性能及抵抗攻擊程度?

 2020-07-15 09:58  來源: A5用戶投稿   我來投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過

作為保障網(wǎng)絡(luò)安全的主要設(shè)備,經(jīng)過多年的發(fā)展,防火墻技術(shù)已逐漸成熟。即便如此,用戶在購(gòu)買防火墻時(shí)仍需擦亮眼睛。

防火墻是一種在內(nèi)外網(wǎng)邊界上部署的訪問控制裝置,用于防止未經(jīng)授權(quán)的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的通信。防火墻主要分為三種類型:簡(jiǎn)單的包過濾防火墻、狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻、應(yīng)用代理防火墻。

防火墻控制是網(wǎng)絡(luò)數(shù)據(jù)的對(duì)象,通過對(duì)用戶的2到7層的策略進(jìn)行檢查,根據(jù)檢查結(jié)果決定接受,下降或限制流量。雖然實(shí)際的防火墻也可以取代路由器和交換機(jī)的一部分,但對(duì)這些功能的結(jié)果太多的重點(diǎn)只能是物物交換。

由于防火墻設(shè)備在網(wǎng)絡(luò)中的引入,防火墻的必然要求可以提供相應(yīng)的支持,包括管理,環(huán)境適應(yīng)能力,與現(xiàn)有的交換機(jī)/路由器的互連,吞吐能力和適當(dāng)?shù)难舆t。這種防火墻不會(huì)網(wǎng)絡(luò)瓶頸。這些功能實(shí)際上是對(duì)防火墻的附加要求,雖然它是必要的,但不給用戶帶來附加值,它的整體要求是最好的。

雖然防火墻的開發(fā)時(shí)間比較長(zhǎng),但技術(shù)相對(duì)比較成熟,但新的防火墻概念,新技術(shù)仍在層出不窮。那么,如何對(duì)防火墻進(jìn)行真正的評(píng)價(jià)呢?還必須從用戶使用角度進(jìn)行深入的分析,從功能、性能、管理、穩(wěn)定性三個(gè)方面進(jìn)行調(diào)查。

功能,表現(xiàn)為“雙層皮”

功能和性能一直是用戶評(píng)價(jià)防火墻的主要方面,尤其是由于其可量化的性能,更是對(duì)比的焦點(diǎn),但真正理解這2個(gè)問題是不容易的。為了適應(yīng)用戶的環(huán)境是復(fù)雜的和需要的,為了有一個(gè)“賣點(diǎn)”,現(xiàn)在的防火墻一般都有很多功能,這些功能都沒有任何問題,如熱備功能已經(jīng)通過測(cè)試,動(dòng)態(tài)應(yīng)用的支持也測(cè)試通過,但在實(shí)際環(huán)境中,我們可以在熱備使用視頻會(huì)議的需要和要求而不中斷的視頻開關(guān)。

這可能是一些防火墻是不是,和類似的功能組合是用戶真正需要的。此外,防火墻功能和性能一般會(huì)獨(dú)立評(píng)估,功能測(cè)試和性能測(cè)試和功能測(cè)試涉及單一功能,性能測(cè)試約2,三個(gè)簡(jiǎn)單的應(yīng)用性能,導(dǎo)致性能作為一個(gè)功能的“雙皮”,不能真正反映了防火墻功能:測(cè)試性能是非常高的,但許多功能不能使用,在實(shí)際使用時(shí),打開所有常用的功能,性能變得非常低。因此,有必要對(duì)防火墻的性能和功能進(jìn)行評(píng)估,以評(píng)估防火墻的性能。

具體的評(píng)價(jià)應(yīng)該從以下幾個(gè)方面展開:

•2~7層的訪問控制功能,特別是濾波層深度的應(yīng)用。函數(shù)應(yīng)該能夠地址映射、端口映射、主干VLAN支持、用戶認(rèn)證、動(dòng)態(tài)包過濾,對(duì)使用任意組合的流量控制等功能。

•安全功能,重點(diǎn)放在抗synflood攻擊。目前,在“黑客”的攻擊行為,最常用的,最有效的是DDoS(分布式拒絕服務(wù)攻擊),這是由于服務(wù)器拒絕服務(wù)。防火墻作為網(wǎng)絡(luò)的一個(gè)渠道,來保證網(wǎng)絡(luò)的安全保護(hù),需要重點(diǎn)關(guān)注的安全保護(hù)功能可以過濾攻擊的同時(shí)保證正常訪問,是否源地址攻擊和真實(shí)源地址攻擊同時(shí)有效地欺騙,可以保護(hù)服務(wù)器免受沖擊。這個(gè)函數(shù)應(yīng)該能夠地址映射、端口映射、主干VLAN支持、用戶認(rèn)證、動(dòng)態(tài)包過濾、流量控制等同時(shí)或任意組合。

•實(shí)際性能。性能測(cè)試一般包括六個(gè)方面:吞吐量、延遲、丟包率、回接、并發(fā)連接數(shù)、新連接率,實(shí)際性能是在接近實(shí)際用戶使用性能的。

•新連接率。由于網(wǎng)絡(luò)應(yīng)用的波動(dòng)較大,即在不同的時(shí)間訪問特性的差異,防火墻也能適應(yīng)這種情況,相應(yīng)的指標(biāo),新的連接速率。考慮到用戶網(wǎng)絡(luò)的復(fù)雜性和應(yīng)用,還需要打開常用的功能,如:數(shù)據(jù)包過濾、內(nèi)容過濾、抗攻擊等情況,測(cè)試新的連接速率。

管理是關(guān)鍵

用戶要使用安全的防火墻系統(tǒng),就要實(shí)現(xiàn)一套防火墻的安全策略,這是對(duì)防火墻的實(shí)際操作人員提出了更高的要求。由于不同防火墻的管理存在差異,因此,管理者的管理難度可能會(huì)導(dǎo)致錯(cuò)誤配置,從而使網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。因?yàn)槊總€(gè)網(wǎng)絡(luò)管理員都不能被要求成為網(wǎng)絡(luò)安全專家,所以管理是網(wǎng)絡(luò)安全的關(guān)鍵。刪除權(quán)限管理、通信加密等,還需要把重點(diǎn)放在管理上的方便性和集中管理的這2個(gè)方面。

單一管理方便,防火墻應(yīng)該提供各種管理,為管理員在不同的使用場(chǎng)合,如高級(jí)別的管理員進(jìn)行全面管理防火墻的串口命令行模式;遠(yuǎn)程維護(hù)和管理SSH方式;網(wǎng)絡(luò)遠(yuǎn)程配置;圖形用戶界面的遠(yuǎn)程配置和監(jiān)控。

其中,網(wǎng)頁模式無需安裝客戶端軟件,更方便靈活;圖形用戶界面安裝更麻煩,但靈活性強(qiáng)。早期:很多服務(wù)器管理員,當(dāng)服務(wù)器受到攻擊的時(shí)候直接安裝個(gè)軟件防火墻。實(shí)際上這樣的作用并不大,因?yàn)橐呀?jīng)到了服務(wù)器的應(yīng)用層。不管怎樣,流量已經(jīng)是到服務(wù)器的網(wǎng)卡,比如攻擊者一旦加大流量,帶寬耗盡自然全部掛了。

針對(duì)早幾年攻擊流量小作用是非常明顯,而且優(yōu)點(diǎn)是成本低,也許幾百塊就可以解決問題?,F(xiàn)在時(shí)代不同了,動(dòng)不動(dòng)就是幾十G上百G的攻擊無處不在。高防CDN是從接入層以及網(wǎng)絡(luò)層+應(yīng)用層來解決問題,比較適合于現(xiàn)在的大流量攻擊。攻擊者發(fā)起攻擊后,流量會(huì)直接到高防接入硬件防火墻,集群防火墻會(huì)過濾過99%以上的攻擊應(yīng)用,仍有大量的CC可能沒有辦法完全過濾。CC流量到了CDN節(jié)點(diǎn)服務(wù)器,通過限制訪問頻率以及其它防CC策略實(shí)現(xiàn)封停無效的IP。

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)文章

熱門排行

信息推薦