硬件防火墙的例行检查服务器教程
【简介】感谢网友“小狐狸丁丁大”参与投稿,以下是小编帮大家整理的硬件防火墙的例行检查服务器教程(共7篇),仅供参考,欢迎大家阅读。
篇1:硬件防火墙的例行检查服务器教程
硬件防火墙是保障内部网络安全的一道重要屏障,它的安全和稳定,直接关系到整个内部网络的安全。因此,日常例行的检查对于保证硬件防火墙的安全是非常重要的。
系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头,例行检查的任务就是要发现这些安全隐患,并尽可能将问题定位,方便问题的解决。
一般来说,硬件防火墙的例行检查主要针对以下内容:
1.硬件防火墙的配置文件
不管你在安装硬件防火墙的时候考虑得有多么的全面和严密,一旦硬件防火墙投入到实际使用环境中,情况却随时都在发生改变。硬件防火墙的规则总会不断地变化和调整着,配置参数也会时常有所改变。作为网络安全管理人员,最好能够编写一套修改防火墙配置和规则的安全策略,并严格实施。所涉及的硬件防火墙配置,最好能详细到类似哪些流量被允许,哪些服务要用到代理这样的细节。
在安全策略中,要写明修改硬件防火墙配置的步骤,如哪些授权需要修改、谁能进行这样的修改、什么时候才能进行修改、如何记录这些修改等,
安全策略还应该写明责任的划分,如某人具体做修改,另一人负责记录,第三个人来检查和测试修改后的设置是否正确。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化,并能尽量避免因修改配置所造成的错误和安全漏洞。
2.硬件防火墙的磁盘使用情况
如果在硬件防火墙上保留日志记录,那么检查硬件防火墙的磁盘使用情况是一件很重要的事情。如果不保留日志记录,那么检查硬件防火墙的磁盘使用情况就变得更加重要了。保留日志记录的情况下,磁盘占用量的异常增长很可能表明日志清除过程存在问题,这种情况相对来说还好处理一些。在不保留日志的情况下,如果磁盘占用量异常增长,则说明硬件防火墙有可能是被人安装了Rootkit工具,已经被人攻破。
因此,网络安全管理人员首先需要了解在正常情况下,防火墙的磁盘占用情况,并以此为依据,设定一个检查基线。硬件防火墙的磁盘占用量一旦超过这个基线,就意味着系统遇到了安全或其他方面的问题,需要进一步的检查。
3.硬件防火墙的CPU负载
和磁盘使用情况类似,CPU负载也是判断硬件防火墙系统运行是否正常的一个重要指标。作为安全管理人员,必须了解硬件防火墙系统CPU负载的正常值是多少,过低的负载值不一定表示一切正常,但出现过高的负载值则说明防火墙系统肯定出现问题了。过高的CPU负载很可能是硬件防火墙遭到DoS攻击或外部网络连接断开等问题造成的。
篇2:硬件防火墙的例行检查
硬件防火墙是保障内部网络安全的一道重要屏障,它的安全和稳定,直接关系到整个内部网络的安全。因此,日常例行的检查对于保证硬件防火墙的安全是非常重要的。
系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头,例行检查的任务就是要发现这些安全隐患,并尽可能将问题定位,方便问题的解决。
一般来说,硬件防火墙的例行检查主要针对以下内容:
1.硬件防火墙的配置文件
不管你在安装硬件防火墙的时候考虑得有多么的全面和严密,一旦硬件防火墙投入到实际使用环境中,情况却随时都在发生改变。硬件防火墙的规则总会不断地变化和调整着,配置参数也会时常有所改变。作为网络安全管理人员,最好能够编写一套修改防火墙配置和规则的安全策略,并严格实施。所涉及的硬件防火墙配置,最好能详细到类似哪些流量被允许,哪些服务要用到代理这样的细节。
在安全策略中,要写明修改硬件防火墙配置的步骤,如哪些授权需要修改、谁能进行这样的修改、什么时候才能进行修改、如何记录这些修改等。安全策略还应该写明责任的划分,如某人具体做修改,另一人负责记录,第三个人来检查和测试修改后的设置是否正确。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化,并能尽量避免因修改配置所造成的错误和安全漏洞。
2.硬件防火墙的磁盘使用情况
如果在硬件防火墙上保留日志记录,那么检查硬件防火墙的磁盘使用情况是一件很重要的事情。如果不保留日志记录,那么检查硬件防火墙的磁盘使用情况就变得更加重要了。保留日志记录的情况下,磁盘占用量的异常增长很可能表明日志清除过程存在问题,这种情况相对来说还好处理一些。在不保留日志的情况下,如果磁盘占用量异常增长,则说明硬件防火墙有可能是被人安装了Rootkit工具,已经被人攻破。
因此,网络安全管理人员首先需要了解在正常情况下,防火墙的磁盘占用情况,并以此为依据,设定一个检查基线,
硬件防火墙的磁盘占用量一旦超过这个基线,就意味着系统遇到了安全或其他方面的问题,需要进一步的检查。
3.硬件防火墙的CPU负载
和磁盘使用情况类似,CPU负载也是判断硬件防火墙系统运行是否正常的一个重要指标。作为安全管理人员,必须了解硬件防火墙系统CPU负载的正常值是多少,过低的负载值不一定表示一切正常,但出现过高的负载值则说明防火墙系统肯定出现问题了。过高的CPU负载很可能是硬件防火墙遭到DoS攻击或外部网络连接断开等问题造成的。
4.硬件防火墙系统的精灵程序
每台防火墙在正常运行的情况下,都有一组精灵程序(Daemon),比如名字服务程序、系统日志程序、网络分发程序或认证程序等。在例行检查中必须检查这些程序是不是都在运行,如果发现某些精灵程序没有运行,则需要进一步检查是什么原因导致这些精灵程序不运行,还有哪些精灵程序还在运行中。
5.系统文件
关键的系统文件的改变不外乎三种情况:管理人员有目的、有计划地进行的修改,比如计划中的系统升级所造成的修改;管理人员偶尔对系统文件进行的修改;攻击者对文件的修改。
经常性地检查系统文件,并查对系统文件修改记录,可及时发现防火墙所遭到的攻击。此外,还应该强调一下,最好在硬件防火墙配置策略的修改中,包含对系统文件修改的记录。
6.异常日志
硬件防火墙日志记录了所有允许或拒绝的通信的信息,是主要的硬件防火墙运行状况的信息来源。由于该日志的数据量庞大,所以,检查异常日志通常应该是一个自动进行的过程。当然,什么样的事件是异常事件,得由管理员来确定,只有管理员定义了异常事件并进行记录,硬件防火墙才会保留相应的日志备查。
上述6个方面的例行检查也许并不能立刻检查到硬件防火墙可能遇到的所有问题和隐患,但持之以恒地检查对硬件防火墙稳定可靠地运行是非常重要的。如果有必要,管理员还可以用数据包扫描程序来确认硬件防火墙配置的正确与否,甚至可以更进一步地采用漏洞扫描程序来进行模拟攻击,以考核硬件防火墙的能力。
篇3:浅谈服务器硬件防火墙
在电脑世界什么最重用?相信有许多朋友都会想到安全,的确,在安全的基础上才能保障系统正常运行,保证自己的内容私密性,保证不会因为受攻击而DOWN机。那么,既然是最重要的部分,那一定就是最贵的吧。这次应该很多朋友会想错,用马云的话来说:“服务是全世界最贵的产品,所以最佳的服务就是不要服务,最好的服务就是不需要服务。”为了节约开支,为了“不需要服务”,在服务器领域里了硬防的概念,IDC服务器租赁商通常免费赠送硬防来争取赢得客户。
服务器硬防的简单介绍
服务器的硬防是指硬件防火墙,硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,能减少CPU的负担,使路由更稳定。 硬件防火墙是保障内部网络安全的一道重要屏障。它的安全和稳定,直接关系到整个内部网络的安全。因此,日常例行的检查对于保证硬件防火墙的安全是非常重要的。
系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头,例行检查的任务就是要发现这些安全隐患,并尽可能将问题定位,方便问题的解决。
硬件防火墙的例行检查主要内容
1.硬件防火墙的配置文件
不论我们在安装硬件防火墙的时候考虑得有多么的全面和严密,一旦硬件防火墙投入到实际使用环境中,情况却随时都在发生改变。硬件防火墙的规则总会不断地变化和调整着,配置参数也会时常有所改变。作为网络安全管理人员,最好能够编写一套修改防火墙配置和规则的安全策略,并严格实施,
所涉及的硬件防火墙配置,最好能详细到类似哪些流量被允许,哪些服务要用到代理这样的细节。
在安全策略中,要写明修改硬件防火墙配置的步骤,如哪些授权需要修改、谁能进行这样的修改、什么时候才能进行修改、如何记录这些修改等。安全策略还应该写明责任的划分,如某人具体做修改,另一人负责记录,第三个人来检查和测试修改后的设置是否正确。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化,并能尽量避免因修改配置所造成的错误和安全漏洞。
2.硬件防火墙的磁盘使用情况
如果在硬件防火墙上保留日志记录,那么检查硬件防火墙的磁盘使用情况是一件很重要的事情。如果不保留日志记录,那么检查硬件防火墙的磁盘使用情况就变得更加重要了。保留日志记录的情况下,磁盘占用量的异常增长很可能表明日志清除过程存在问题,这种情况相对来说还好处理一些。在不保留日志的情况下,如果磁盘占用量异常增长,则说明硬件防火墙有可能是被人安装了Rootkit工具,已经被人攻破。
因此,网络安全管理人员首先需要了解在正常情况下,防火墙的磁盘占用情况,并以此为依据,设定一个检查基线。硬件防火墙的磁盘占用量一旦超过这个基线,就意味着系统遇到了安全或其他方面的问题,需要进一步的检查。
3.硬件防火墙的CPU负载
和磁盘使用情况类似,CPU负载也是判断硬件防火墙系统运行是否正常的一个重要指标。作为安全管理人员,必须了解硬件防火墙系统CPU负载的正常值是多少,过低的负载值不一定表示一切正常,但出现过高的负载值则说明防火墙系统肯定出现问题了。过高的CPU负载很可能是硬件防火墙遭到DoS攻击或外部网络连接断开等问题造成的。
篇4:防火墙、UTM产品硬件平台架构分析服务器教程
现在市场上的防火墙、UTM产品从其架构上来说,大概分为三大类,
第一类是基于X86平台的,这种平台通常使用一颗或多颗主CPU来处理业务数据,网卡芯片和CPU通过PCI总线来传输数据。
由于传统的32位PCI总线频率为33MHZ,所以,理论通讯速率为:132 MB Bytes/S即:1056 MBits/S。单从PCI通讯的速率上来说是可以满足千兆防火墙的需要,但实际上PCI总线在X86系统中是共享的,也就是说,如果有两个网卡同时传输数据,那么每个网卡所能获得的速率就只有 66 MB Bytes/S,即:528 Mbits/S ,如果有四个网口同时传输数据,则每个网卡所能获得的速度只有16 MB Bytes/S,即128Mbit/S。
从总线速度来看基于32位PCI总线的X86平台,做为百兆防火墙的方案是没有任何问题的,
但X86平台的防火墙方案,数据从网卡到CPU之间的传输机制是靠“中断”来实现的,中断机制导致在有大量数据包的需要处理的情况下(如:64 Bytes的小包,以下简称小包),X86平台的防火墙吞吐速率不高,大概在30%左右,并且CPU占用会很高。这是所有基于X86平台的防火墙所共同存在的问题。
因此,基于32位PCI总线的X86平台是不能做为千兆防火墙使用的,因为32位PCI总线的通讯速率不能达到千兆防火墙的要求。针对这个问题,Intel提出了解决方案,可以把32位的PCI总线升级到了PCI-E ,即:PCI-Express,这样,PCI-E 4X的总线的速度就可以达到 MB Bytes/S,即:16Gbits/S,并且PCI-E各个PCI设备之间互相独立不共享总线带宽,每个基于PCI-E的网口可以使用的带宽为:2000MB Bytes/S,即:16Gbits/S,所以基于PCI-E 4X的X86从系统带宽上来说,做为千兆防火墙是没有任何问题的。但是,基于PCI-E的防火墙数据从网卡到CPU之间传输同样使用“中断”机制来传输数据,所以小包(64 Bytes)的通过率仍然为:30-40%。
篇5:三层核心+防火墙服务器教程
三层的出口连接防火墙的内口
三层核心交换机最好别用VLAN1连接防火墙内口,可能会因为IP重定向问题导致内网访问外网速度奇慢!!
具体事例及解决办法如下:
某企业网核心为4506,接入基本为2950系列。核心有一块X4548GB&nbs p;-RJ业务板,其中48口上联到防火墙,其他下联到客户端。客户端网关指向核心交换机,上网速度奇慢。指向防火墙则速度正常,防火墙地址为172.16.1.1核心配置如下:
core_switch#showrunBuildingconfiguration...
Currentconfiguration:6061bytes
!
version12.1
noservicepad
servicetimestampsdebuguptime
servicetimestampsloguptime
noservicepassword-encryption
servicecompress-config
!
hostnamecore_switch
!
enablesecret5$1$21p4$rcisbziyY7iFWx0w7jm6d.
enablepasswordkindy
!
vtpmodetransparent
ipsubnet-zero
!
spanning-treeextendsystem-id
!
!
vlan2
namevlan2
!
interfaceGigabitEthernet1/1
!
interfaceGigabitEthernet1/2
!
interfaceGigabitEthernet2/1
descriptionToZXC
switchporttrunkencapsulationdot1q
switchportmodetrunk
!
interfaceGigabitEthernet2/2
descriptionToHYS-310
switchporttrunkencapsulationdot1q
switchportmodetrunk
!
interfaceGigabitEthernet2/3
descriptionToHYS-303
switchporttrunkencapsulationdot1q
switchportmodetrunk
!
interfaceGigabitEthernet2/4
descriptionToPGZ
switchporttrunkencapsulationdot1q
switchportmodetrunk
!
interfaceGigabitEthernet2/5
descriptionToWLZ
switchporttrunkencapsulationdot1q
switchportmodetrunk
!
interfaceGigabitEthernet2/6
switchporttrunkencapsulationdot1q
switchportmodetrunk
!
interfaceGigabitEthernet3/1
descriptionToBACK_24
switchporttrunkencapsulationdot1q
switchportmodetrunk
!
interfaceGigabitEthernet3/2
switchporttrunkencapsulationdot1q
switchportmodetrunk
!
interfaceGigabitEthernet3/3
!
interfaceGigabitEthernet3/4
!
interfaceGigabitEthernet3/5
!
interfaceGigabitEthernet3/6
!
interfaceGigabitEthernet4/1
switchporttrunkencapsulationdot1q
switchportmodetrunk
!
....
....
....
!
interfaceGigabitEthernet4/47
switchporttrunkencapsulationdot1q
switchportmodetrunk
!
interfaceGigabitEthernet4/48
!
interfaceVlan1
ipaddress172.16.1.121255.255.255.0
!
interfaceVlan2
ipaddress172.16.2.1255.255.255.0
!
ipclassless
iproute0.0.0.00.0.0.0172.16.1.1
noiphttpserver
!
!
!
linecon0
password******
login
stopbits1
linevty04
password******
login
!
end
--------------------------------------------
因为上面的配置是把防火墙的内口直接接如了三层核心的VLAN1内,所以出现访问外网速度奇慢的现象,
。
解决办法如下:
1、关闭VLAN1的重定向功能
intvlan1noipredirects
2、将防火墙的内网线接如核心的其他VLAN
篇6:关于防火墙的思考服务器教程
防火墙采用NP技术并不是什么新的概念,那么东软在这一领域的大张旗鼓,又有着怎样的意义呢?
防火墙已经是企业网络必不可少的安全设备,目前市场上的防火墙品牌众多,所采用的技术方案也不尽相同,日前,东软与英特尔紧密合作,推出了全系列基于NP(Network Processor)技术的NETEYE防火墙产品。在此之前,联想、方正等国产厂商也推出了基于NP技术的防火墙产品,这说明NP技术已经逐步得到了用户的认可。
我们知道,NP技术并不是什么新的技术概念,NP,即网络处理器,是英特尔专门为处理数据包而设计。除此之外,防火墙产品设计或采用专用ASIC芯片,或者干脆采用基于x86架构的通用处理器。其中,基于ASIC芯片的防火墙是公认的能够达到线速转发、满足高速网络环境骨干级应用的方案。但是其缺点是缺乏灵活性,由于指令或计算逻辑固化在硬件中,因此不便于修改和升级;此外,现在网络需要的深层次包(L4+)分析,使得ASIC设计复杂度增加,需要非常高的技术含量。与之相比,NP技术完全可编程的特点恰好弥补了ASIC的弱点。
国内很多的防火墙产品以前是采用x86架构通用处理器设计的,虽然在满足功能实现方面具有很好的灵活性,但是x86架构通用处理器毕竟是为数据的处理而设计的,尽管所使用的PCI总线最大带宽达到了1Gb/s,但由于PCI 总线是共享式的,这样,当一个网络组成模块发出指令时,就有可能由于冲突而影响PCI总线传输速度。因此,在流量比较大的网络环境,特别是千兆网络环境中,往往会造成整体网络性能的下降,
此外,x86防火墙的稳定性也存在问题,PCI接口、功耗、灰尘、振动等都有可能导致防火墙的故障。与之相比,专门为处理数据包而设计的NP处理器显然解决了性能和稳定性的问题。因此,国产的防火墙产品在采用了NP处理器之后,往往会有更好的性能表现。
那么,国产的防火墙产品为什么在采用了NP技术之后就具备了市场竞争力能力呢?为此,记者也专门采访了东软网络安全产品营销中心的总经理曹斌先生。“市场没有那么简单,采用了NP技术之后,也不意味着大家的防火墙产品都处于同一个起跑线上,不同的防火墙产品还是具有很大的分别的,需要用户进行认真的分辨,”曹斌表示,“其中最大的差别在于技术上的积累和沉淀。”
曹斌表示,不同的用户对于防火墙产品的需求不完全相同,不能按照同一个标准要求,例如电信用户比较看重防火墙产品的通讯能力,对于界面和接口,以及产品可靠性具有很高的要求,有些用户对于防火墙的速度比较偏重,而有些用户则要求防火墙具有非常好的安全防护策略。因此,防火墙产品并不是功能越全越好,性能越出色越好,要根据用户的需求进行设计。目前,很多国产的防火墙产品仍然在强调单一的性能或者“状态检测”的功能,实际上,这基本上是3年前的技术,如今,防火墙产品的挑战在于如何更好的识别应用,与用户的应用系统很好的结合,提供更强的安全防护。在这个基础上,未来的防火墙产品竞争将更多体现在成本制造方面的竞争,曹斌对此进行了大胆的预测。
专家表示,东软防火墙的优势在于功能,如其独树一帜的流过滤技术,如今,原有的这些功能都移植到了NP架构下,产品的性能和稳定性得到进一步提升,这将大大提高东软防火墙的竞争能力。期待国产防火墙超越“状态检测”阶段,针对VoIP、视频会议、P2P等用户应用,提供更好的安全防护方案。
篇7:构筑自己的防火墙服务器教程
网络是美好的,它可以让我们足不出户就能知晓天下之事,也能够很便捷的和远在天边的朋友聊天通信,但是由于目前操作系统或者是其它网络软件中存在一些缺陷,使得那些别有用心的人可以利用这些缺陷进入你的机器中,如果一个不小心的话,你的绝密文件就会赤裸裸的暴露在网络上,而这还算是好的呢,要是你的资料被悄悄的删除了,你哭都来不及!再加上现在有许多 工具,即使你是一个计算机新手的话,也可以利用它们很轻松的实现自己的 梦,是不是很可怕?如果你想真正确保自己计算机的安全,不妨用Norton Personal Firewall在PC上构筑一个属于自己的防火墙。
一、初识防火墙
所有的Internet通信都是通过独立数据包的交换来完成的,而每个数据包都是由源主机向目标主机传输的,所以数据包是Internet上信息传输的基本单位。虽然我们常说电脑之间的“连接”,但这“连接”实际上是由被“连接”的两台电脑之间传送的独立数据包组成的。为了到达目的地,不论两台电脑是隔着几米远还是在不同的大洲上,每个数据包都必须包含一个目标地址和端口号以及源主机的IP地址及端口号,以便接收者知道是谁发出了这个包。也就是说,每一个在Internet上传送的包,都必须含有源地址和目标地址。一个IP地址总是指向Internet上的一台单独机器,而端口号则和机器上的某种服务或会话相关联。而防火墙的目的就是使用一段“代码墙”把你的电脑和Internet分隔开,
它检查到达防火墙两端的所有数据包,无论是进入还是发出,从而决定该拦截这个包还是将其放行。
因为防火墙检查每个到达你的电脑的数据包,所以在这个数据包被你机上运行的任何软件看到之前,防火墙有完全的否决权,可以禁止你的电脑接收Internet上的任何东西。当第一个请求建立连接的数据包被你的电脑回应后,一个TCP/IP端口被打开。如果到达的数据包不被受理,这个端口就会迅速地从Internet上消失,谁也别想和它连上。但防火墙的真正威力在于选择哪些数据包该拦截,哪些数据包该放行。既然每个到达的数据包都含有正确发送者的IP地址(以便接收者发送回应数据包),那么基于源主机IP地址及端口号和目标主机IP地址及端口号的一些组合,防火墙就可以“过滤”掉一些到达的数据包。
简单一点说来,比如你需要允许远程主机在80端口(http)和你的电脑连接,防火墙就可以检查每个到达的包,并只允许由80端口开始的连接。新的连接将会在所有的其 丝谏媳痪芫。即使你的电脑不小心被装入了特洛伊木马程序,向外界打开了一个监听端口,禁止特洛伊木马通行的扫描也可以检测到它的存在,因为所有联络系统内特洛伊木马程序的企图都被防火墙拦截了。所以ü防火墙可以建立一条安全隧道,以便你的家庭电脑和办公室电脑可以共享文件而不受外来的侵入。你可以在办公室电脑中的防火墙上设定,只允许来自你家庭电脑的IP地址的连接,使用NetBios文件共享端口137-139;类似的,在家庭电脑的防火墙上可以设定,只允许来自你办公室电脑的IP地址的连接,使用137-139端口。这样,两台机器都可以看到对方的NetBios端口,而在Internet上的其它人都看不见这两台机器之间的通讯模式。
