防火牆伺服器如何選擇

❶ 伺服器安全如何保障 如何選擇防火牆

不同應用環境和不同的使用需求，對防火牆性能的要求各不一樣。所以要真正找到一款合適的伺服器防火牆，重點便是在選擇伺服器防火牆的時候，認真分析自身的需求，綜合考慮各種不同類型的伺服器防火牆的優缺點。為了幫助新手在選擇伺服器防火牆的時候，能夠有一個比較大概的方向，我們將介紹伺服器防火牆的大致分類，以及不同類型伺服器防火牆各自的優缺點。 一、按照組成結構劃分，伺服器防火牆的種類可以分為硬體防火牆和軟體防火牆。 硬體防火牆本質上是把軟體防火牆嵌入在硬體中，硬體防火牆的硬體和軟體都需要單獨設計，使用專用網路晶元來處理數據包，同時，採用專門的操作系統平台，從而避免通用操作系統的安全漏洞導致內網安全受到威脅。也就是說硬體防火牆是把防火牆程序做到晶元裡面，由硬體執行伺服器的防護功能。因為內嵌結構，因此比其他種類的防火牆速度更快，處理能力更強，性能更高。 軟體防火牆，顧名思義便是裝在伺服器平台上的軟體產品，它通過在操作系統底層工作來實現網路管理和防禦功能的優化。軟體防火牆運行於特定的計算機上，它需要客戶預先安裝好的計算機操作系統的支持，一般來說這台計算機就是整個網路的網關。軟體防火牆就像其它的軟體產品一樣需要先在計算機上安裝並做好配置才可以使用。 硬體防火牆性能上優於軟體防火牆，因為它有自己的專用處理器和內存，可以獨立完成防範網路攻擊的功能，不過價格會貴不少，更改設置也比較麻煩。而 軟體防火牆是在作為網關的伺服器上安裝的，利用伺服器的CPU和內存來實現防攻擊的能力，在攻擊嚴重的情況下可能大量佔用伺服器的資源，但是相對而言便宜得多，設置起來也很方便。 二、除了從結構上可以把伺服器防火牆分為軟體防火牆和硬體防火牆以外，還可以從技術上分為「包過濾型」、「應用代理型」和「狀態監視」三類。一個防火牆的實現過程多麼復雜，歸根結底都是在這三種技術的基礎上進行功能擴展的。 1. 包過濾型 包過濾是最早使用的一種xp系統下載防火牆技術，它的第一代模型是靜態包過濾，工作在OSI模型中的網路層上，之後發展出來的動態包過濾則是工作在OSI模型的傳輸層上。包過濾防火牆工作的地方就是各種基於TCP/IP協議的數據報文進出的通道，它把這網路層和傳輸層作為數據監控的對象，對每個數據包的頭部、協議、地址、埠、類型等信息進行分析，並與預先設定好的防火牆過濾規則進行核對，一旦發現某個包的某個或多個部分與過濾規則匹配並且條件為「阻止」的時候，這個包就會被丟棄。 基於包過濾技術的防火牆的優點是對於小型的、不太復雜的站點，比較容易實現。但是其缺點是很顯著的，首先面對大型的，復雜站點包過濾的規則表很快會變得很大而且復雜，規則很難測試。隨著表的增大和復雜性的增加，規則結構出現漏洞的可能性也會增加。其次是這種防火牆依賴於一個單一的部件來保護系統。

❷ 如何選擇高防伺服器

1、帶寬大小
現有的很多網路攻擊採取的攻擊方式都是消耗帶寬型，所以帶寬大小是判定是否為高防伺服器的標准之一，帶寬資源越大，支持伺服器的防禦能力就越大。
2、防禦范圍大小
高防伺服器的數據中心都會安裝防火牆設備，觀測防火牆設備是否在100G以上。現如今非常少服務提供商能提供的總硬防會超出100G，在挑選的時候要擦亮眼睛，服務提供商的真正防禦能力標准還是要客戶利用測試工具來開展具體的測試。
3、看高防伺服器可防禦的攻擊類型
選擇高防伺服器的時候要注意可否應對常見的網路層SYN、UDP、IMCP等泛洪攻擊類型，可否支持HTTP特徵過濾、URI過濾、host過濾等web應用防護功能，可否對frag flood，stream flood，land flood等畸形報文攻擊產生有效防禦。

❸ 如何選擇適合自己的高防伺服器

按考慮的重要性，以下羅列了八個中心因素:
1、選定定心的IDC公司。
IDC公司的挑選，首位考慮的是不是正規的IDC公司，是不是一手資源自主運營的，有沒有實體的公司，有沒有正規的ICP/ISP證書（一般慣例IDC公司都有ICP證，ISP證書是有必定規模的公司才具有的），有沒有完善的售後服務，這些您都能夠去看看同行長時間去哪裡租借的機器作為參閱，查一查網上的評價等等
2、選定適宜的線路IP。
線路首要分單線、雙線、多線BGP.單線一般默認電信線路，國內電信線路是比較成熟的，無論是帶寬和防護都做得很到位，一般都是電信機房。雙線，就是兩條線路組合，現在幹流的雙線是電信+聯通、電信+網路兩種，前者比後者由於線路的拜訪成本和質量關系租借價格稍高。線路的挑選首要考慮，您現在站點的拜訪事務人群首要是在什麼當地，南方訪客佔有大多數而北方訪客比較少的話主張用電信單線就行，要是南北方訪客都差不多，並且處於事務需要想做全國的事務，那雙線就是最適宜的挑選
3、選定夠用的帶寬。
帶寬的挑選是大多數客戶很重視的一個環節，假如第一次租借高防伺服器，不知道選多大的帶寬資源的話，您這邊能夠多選幾家比較正規的IDC咨詢事務員，報上您現在的事務狀況，讓事務給您推薦，咱們全國數據每天都會接待很多的客戶，一般正規公司都會很耐性為您回答的，無論您終究選不挑選在他那裡租借高防伺服器，這是一個原則。一般事務根底裝備獨享帶寬在20M左右，這是行業的默認裝備，拿到帶寬之後您這邊能夠登錄機器進行下載或許上傳測試。有些客戶會古怪說為什麼租了20M獨享帶寬怎樣下載速度在不同的軟體下載速度都紛歧樣，是的，不同的下載軟體資源，由於您的地點地和軟體資源地點當地都紛歧樣，所以下載會有偏差，這個請您定心，您這邊能夠用軟體工具測試全國各地的下載拜訪狀況，來看看平均拜訪資源狀況，切勿單單以自己的角度去看問題，由於拜訪您站點的是全國各地的訪客.
4、選定適宜的防護。
跟著互聯網的開展，無論是企業還是民營站點對防護的需要越來越重視，防護，防的是CC、DDOS等幹流進犯。防護，上了10G就算是高防了，一般慣例給機器的防護都是20-30G歸於正常范圍，全國數據的防護是能夠隨時加減的，單機防護能夠在30-無限幫防護之間，依據線路的紛歧樣價格從幾百到幾千不等,防護的大小挑選要密切衡量自己的成本和日常被進犯的狀況，結合起來考慮，切勿盲目挑選，在挑選出現問題的時候能夠隨時聯絡IDC的售前客服，給您推薦
5、選定租借的機房。
國內防護比較好的機房一般會集在湖南和廣東比較有名，湖南衡陽機房，廣東的惠州機房、佛山機房等等。挑選機房，咱們要看除了看機房承諾的防護外要看機房的資質，機房的裝備:發電機、線路，機房等級等等
6、選定適宜機型CPU。
現在一般幹流都是八核的CPU了，不過也不是一味追求核數高就必定就是優勝的，例如品牌機器的八核或許就比組裝機器如Q9300、Q8300的CPU愈加完善，就像蘋果手機的四核比小米的八核或許運轉起來愈加順暢一個道理假如小站長用四核左右的機器就能夠，中大型站長還是推薦八核以上的
7、選定適宜內存。
慣例內存裝備都是8G左右，除非是一些大的站點事務，如下載網站、多人聊天、大的游戲站點等對內存的佔有資源運用較高會單獨提高裝備，一開端租借高防伺服器主張先運用默認裝備，然後待觀察機器內存佔用狀況來做出相應地增減，IDC公司如全國數據、僅有、群英等正規公司都是能夠中途添加硬體的，所以不必過分擔心，隨時能夠擴容
8、選定適宜的硬碟。
硬碟現在根底行業裝備都是500-1T，一些中高站點主張運用1T的，不過中途都能夠隨時加減硬體，這個問題不大。
以上就是數據灣給大家說的幾個在挑選高防伺服器時需要看的幾點，要考慮IDC公司、線路、帶寬、防護、機器硬體裝備：機型+CPU+內存+硬碟等等，由於不同事務所考慮的中心點不大相同，所以咱們需要捉住最中心的開端考慮。

❹ 如何挑選高防伺服器

如何挑選高防伺服器？

一：帶寬和「范圍」大小。首先，由於很多網路攻擊採用的攻擊方法是消耗帶寬型，所以從反向思考，帶寬的大小是判斷是否為高防伺服器的標准之一。

二：防禦的范圍大小，高防伺服器的數據中心都會有防火牆設備，觀察並檢測防火牆設備是否在100G以上，目前最高的集群防火牆已經能達到T級防禦了。

三：高防伺服器能夠防禦的攻擊類型也必須考慮，是否可應對常見的網路層SYN、UDP、IMCP等泛洪攻擊類型，是否支持HTTP特徵過濾、URI過濾、host過濾等web應用防護功能，能否對frag flood，smurf，stream flood，land flood等畸形報文攻擊採取有效防禦。

四：伺服器的性能，可以對比參考一下各家雲伺服器廠商的IOPS值，這樣綜合考慮一定能選擇到最優的高防伺服器。

❺ 如何選擇正確的防火牆

先要明確，防火牆不是路由器、交換機或者伺服器。（雖然看起來比較象）所以不能用那些產品的指標來選擇防火牆。那麼選擇防火牆應該注意哪些方面呢？

一安全性：這是重中之重。安全性不高的防火牆，其他性能再好也是空談。安全性包括幾個方面，自身安全性、訪問控制能力和抗攻擊能力。

自身安全性主要是指防火牆系統的健壯性，也就是說防火牆本身應該是難以被攻入的。還有防火牆的管理方式也很重要。管理員採用什麼方式管理防火牆，是telnet還是web，有沒有加密和認證等等。

訪問控制能力是防火牆的核心功能。訪問控制能力包括控制細度，也就是能控制哪些內容，比如地址、協議、埠、時間、用戶、命令、附件等等。還要注意的就是控制強度，也就是說應該限制的內容必須全部阻斷，應該通過的內容不應該有任何阻斷。

抗攻擊能力是指防火牆對各種攻擊的抵抗能力。包括抵禦攻擊的種類，數量。特別是對DOS和DDOS攻擊的抵抗力。目前對於DDOS攻擊還沒有什麼完善的解決辦法。因此對DDOS攻擊主要看能抵禦的強度有多大。

用戶在選擇防火牆的時候，自己來判斷以上這些性能是很困難的。因為用戶沒有專門的測試工具和手段。用戶可以根據一些第三方的認證和評測來輔助判斷。比如能否擁有安全性較嚴格的軍隊認證、還有就是中國信息安全產品測評認證中心的等級證書。現在用的標準是國標GB/T18336，等級越高越好，一共7級。（不過現在最好的好像也就是EAL3）

二網路性能。

防火牆是個網路設備。在保證安全的基礎上，應該最大程度減少對網路性能的影響。對於網路性能，主要就是看最大帶寬、並發連接數、每秒新增連接數、丟包和延遲。這些指標和交換機、路由器都是相同的，這里就不多說了。但是有一點要注意。防火牆在策略起作用和全通策略的狀態下，上述指標都是不一樣的。用戶一定要考慮實際環境。比如先按照用戶的要求添加多少條策略（全通策略在最後）然後再測試。傳說中有的百兆防火牆小包（64位元組）通過率能達到70%以上，甚至90%，我覺得在實際使用中一定不可能。之所以能夠測試出這樣的數據只有兩個可能：一是採用高性能硬體，比如採用了千兆網卡晶元，二是在測試機的內核做手腳。

三是網路功能。

這里包括的內容就多了，什麼地址轉換、IP/MAC綁定、靜態和動態路由、源地址路由、代理、透明代理、ADSL撥號、DHCP支持、雙機熱備、負載均衡等等。

在這些眼花繚亂的功能里，用戶應該有一雙明亮的眼睛。因為並不是每一個功能用戶都需要的，用戶也不需要為了一些不需要的功能花冤枉錢。當然，價錢相等的情況下功能越多越好啊，呵呵。用戶應該首先明確自己都需要什麼功能，並且要確定這些功能都要達到什麼效果。然後再尋找相應的設備。有些功能在不同廠家的定義是不同的。實現的效果也不一樣。

四是管理功能。這裡面的內容也不少。用戶不要小看了這里的東西。防火牆這種設備不像交換機，安裝好了50年不管。防火牆需要經常管理。日常的管理就是看日誌，修訂策略，添加和刪除用戶。更高的管理還包括第三方互動，VPN建立，遠程集中管理等等。管理方面用戶應該注意界面的友好性，設置選項應該通俗易懂。日誌特別重要，好的日誌系統應該有詳細的記錄，包括連接的狀態和內容，應該便於分類和排序，應該方便存入資料庫並有syslog等標準的介面。遠程管理對用戶來說要注意管理命令的加密和認證，是否支持策略遠程導入導出等等。至於管理的界面是否好看，那就看個人喜好了。

五是質量。防火牆的質量表現可不是做工精細不精細啊，而是防火牆是否能經久耐用。現在比較先進的防火牆普遍採用的是貼板技術。也就是將所有的原件都採用貼片的工藝。這樣整個防火牆都是一體的，自然不容易出故障。如果防火牆的內存，網口還採用插槽的方式，甚至還採用普通硬碟作為系統內核存儲設備，那系統的穩定性就可想而知了。另外在高穩定性要求的環境里要看有沒有雙電源，大功率風扇等等。雖然看上去是細節，但是我可是知道很多防火牆室內溫度一高就死機的。：）

上面說的內容都是對防火牆產品本身的一些介紹。我想大家應該對怎樣選擇防火牆有個原理性的認識了。那麼下面就針對一些實際情況來講一講。先把我在一開始提的幾個誤區做個Q&A吧。

誤區一：防火牆是國外的好。

解釋：在網路安全領域，甚至是計算機領域，我們完全不用崇洋媚外。因為國內的研發力量已經漸漸在趕超了。當然，我們的整體實力還是有限的。但是，對於防火牆這種比較成熟的技術來說，我們完全可以做的和國外的一樣好。國外品牌，大家熟知的checkpoint，為什麼現在的市場份額越來越少？主要是自己不思進取。別人早都用硬體防火牆了，他還死抱著純軟體不放。現在和nokia合作推出硬體產品，是沒辦法的事。這種合作我也很不看好。畢竟對nokia來說這是小生意，不會重視的。在國內進行的多次評測中，國內的產品在性能指標上和國外的產品各有千秋。當然，國外的產品佔了幾個最，比如最快的產品是netscreen，支持協議最多的是checkpoint，入侵檢測結合的最好的是fortinet。但是不要忘記，這些防火牆往往都是一個方面突出，然而其他方面就很一般了。國內的防火牆優勢在於，功能比較全面，很容易用，服務本地化。片面強調一個功能對防火牆來說是不夠的。用戶應該結合自己的實際來選擇防火牆。我認為國內的防火牆在性價比上是很好的。

也有人擔心國內防火牆安全性不夠。國家在這些方面都有專門的認證和評測機構。我想不是白吃飯的。（當然，有的評測確實只拿錢不測試）而國外的就一定安全么？我想更應該在心裡劃個問號。

誤區二：防火牆純硬體的比linux架構的好。

解釋：硬體還是軟體，這個只是跟實現原理有關。要實現防火牆的功能還是靠軟體。ASIC的防火牆是把防火牆代碼做在晶元里，運行的效率當然高。但是別的呢？防火牆可不是只做包檢測的設備。還有很多別的功能。要想全部集成在晶元里，難度很大。特別是如果新出現了一個功能，要添加到原有的ASIC晶元里，往往很難。有人說ASIC晶元速度快。這個問題分兩個角度來考慮。第一，韓國也有ASIC晶元的防火牆。而且國內也有OEM的（是哪一家我不說了），但是都是低端產品，並發連接只有幾千而已。所以不是ASIC就一定好，要看研發的水平了。第二你需要這么快的速度么？速度是重要的，但不是唯一的。現在netscreen能做到幾十個G，但是有個幾個用戶有這么大的帶寬？除了電信，沒幾個用得著。而linux架構的防火牆在軟體上可以很容易的添加功能，甚至可以應用戶的要求訂制開發。

誤區三：防火牆各項指標越高越好。

其實還是那句話：按需選擇。可能用戶有的是錢，那當然另說了。但是在用戶資金有限的情況下，還是應該仔細衡量一下，哪些指標對用戶來說更有用。當然，選擇產品時一定要有前瞻性，產品最好能適應今後兩年網路的擴展。我曾經見過用戶的選型方法是這樣的：因為我們的專線是電信用光纖拉過來的，所以我們要用千兆防火牆和交換機。其實這根光纖只有8M。我想，電信發展的再快，專線速度達到100M以上恐怕也是5、6年以後的事情了（租金多少還難說），因此現在就選擇千兆設備還不如選個好的光電轉換模塊。有的用戶片面追求最大並發連接數，認為並發連接越大越好。其實這也是國內一些廠商的誤導。最大並發連接夠用就可以了。現在的國內廠家在這個指標上玩花樣，你可以對比這兩年同型號產品的公開指標，會發現有些產品的並發連接突然成倍增長。當然，也可能是產品升級了，但是很多情況是廠家為了打標，故意修改的數字。反正大部分用戶都沒條件測試最大並發，我寫個幾百萬你怎麼知道？其實對於百兆防火牆來說，有100萬的並發應該足夠了，富富有餘。其他的指標也一樣，按需選擇才是根本。

❻ 內部有台web伺服器， 選擇防火牆的時候 該怎麼選擇

web伺服器要發布出去，基本的防火牆都有這個功能，做個映射就行了。不過最好選擇web應用防火牆，因為你內網部署web，被攻擊了很危險，直接被人滲透進內網了。推薦銥迅web應用防護系統。

❼ 如何選購企業級防火牆

對於公司網路安全來說，防火牆起的是關鍵性的作用，只有它，才可以防止來自互聯網上永不停止的各種威脅。防火牆的選擇對遠程終端連接到中心系統獲取必要資源或完成重要任務的影響也非常大。當選擇基於硬體的防火牆時，應當考慮以下十個方面的因素，以確保企業實現投資、安全性和生產力的最大化
1、必須可以提供值得信賴的安全
在市面上，UTM的種類非常多。根據商業模式的不同，一些網路安全設備可以提供大量的功能和全面的服務，但是需要公司承擔高昂的價格，而另一些則只包含了基本的服務，但采購的成本也很低。
2、具有良好的易用性
在安全方面，全球跨國企業需要多級控制管理，但即使是這些需要大量保護的企業也不應該將設備配置方式限定在命令行模式下。很多防火牆都可以在提供高度安全性的同時，提供友好的圖形界面以方便管理。
這樣做的優點有幾個方面。圖形用戶界面有助於防止安裝時間出現錯誤。在圖形用戶界面下，更容易地診斷和糾正故障。圖形用戶界面也更易於培訓工作人員，並進行調整、升級和更新。
在選擇基於硬體的防火牆時，考慮到易用性也會帶來很大的好處。一個平台越容易進行管理，就越容易找到可以進行安裝、維護和故障處理等工作的專業人士。
3、必須包含VPN支持
防火牆存在的目的並不限於防止網路黑客的攻擊和非法數據輸出。一個好的防火牆還應該可以在為遠程連接建立安全通道，並對其進行監測。在選擇基於硬體的防火牆時，應該確保其支持同類設備的基於SSL-和IPSec-保護的VPN連接（以保護點至點或站點到站點VPN），讓員工可以實現安全連接。

❽ 小公司伺服器需要哪些 防火牆怎樣選擇。

你的伺服器是什麼應用？
如果是WEB，最好還是用WEB應用防火牆；
如果是OA、ERP、財務等很多品牌都可以，比如思科、華為、山石網科、聯想網御等等，當然你也可以把伺服器放在內網不直接對外發布，採用VPN的方式，外面的員工直接通過VPN登陸，會更安全。

❾ 如何選擇適合自己的伺服器

適合自己的服務這個每個人的要求都不一樣，這怎麼回答呢？可能適合我的不一定就會適合你，伺服器你還是在網上看好的型號、性能、價格等之後，再去官網或者店鋪做對比比較好。我說說我現在用的伺服器吧，是在思騰合力京東店鋪上購買的，性價比方面我覺得還是挺不錯的，在我預算之內最適合我自己的，不管是伺服器的性能還是質量都不錯，反正用到現在都沒有出現過什麼問題，還挺好。你可以去做個參考對比下。

❿ 如何選擇DDoS防禦伺服器

如何選擇高防伺服器：
1、伺服器類型：主要分獨立物理機、雲伺服器、虛擬機，要求高可以選擇物理機或者雲主機
2、配置：針對要求選擇CPU、內存、硬碟大小參數
3、帶寬：帶寬方面根據程序的佔用情況與訪客量，帶寬越高，訪問網站時速度越快。所以訪問量比較大需要選擇較大帶寬。
4、線路：常用線路有BGP線路（電信、聯通、移動三線合一）、電信、聯通、移動，建議是選擇BGP線路。
6、防護：主要看服務商機房的出口，出口越大，能分配的防護越大，但防護這塊越大價格也跟著提高，防護這塊主要是買個保障，根據你的業務平常遭受的DDoS攻擊情況選擇購買防護套餐。
5、售後：選擇正規服務商，24小時售後在線服務最好，現在很多服務商都是要機器提交工單，等工單下來什麼都黃了。