防火墙服务器如何选择

❶ 服务器安全如何保障 如何选择防火墙

不同应用环境和不同的使用需求，对防火墙性能的要求各不一样。所以要真正找到一款合适的服务器防火墙，重点便是在选择服务器防火墙的时候，认真分析自身的需求，综合考虑各种不同类型的服务器防火墙的优缺点。为了帮助新手在选择服务器防火墙的时候，能够有一个比较大概的方向，我们将介绍服务器防火墙的大致分类，以及不同类型服务器防火墙各自的优缺点。 一、按照组成结构划分，服务器防火墙的种类可以分为硬件防火墙和软件防火墙。 硬件防火墙本质上是把软件防火墙嵌入在硬件中，硬件防火墙的硬件和软件都需要单独设计，使用专用网络芯片来处理数据包，同时，采用专门的操作系统平台，从而避免通用操作系统的安全漏洞导致内网安全受到威胁。也就是说硬件防火墙是把防火墙程序做到芯片里面，由硬件执行服务器的防护功能。因为内嵌结构，因此比其他种类的防火墙速度更快，处理能力更强，性能更高。 软件防火墙，顾名思义便是装在服务器平台上的软件产品，它通过在操作系统底层工作来实现网络管理和防御功能的优化。软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。 硬件防火墙性能上优于软件防火墙，因为它有自己的专用处理器和内存，可以独立完成防范网络攻击的功能，不过价格会贵不少，更改设置也比较麻烦。而 软件防火墙是在作为网关的服务器上安装的，利用服务器的CPU和内存来实现防攻击的能力，在攻击严重的情况下可能大量占用服务器的资源，但是相对而言便宜得多，设置起来也很方便。 二、除了从结构上可以把服务器防火墙分为软件防火墙和硬件防火墙以外，还可以从技术上分为“包过滤型”、“应用代理型”和“状态监视”三类。一个防火墙的实现过程多么复杂，归根结底都是在这三种技术的基础上进行功能扩展的。 1. 包过滤型 包过滤是最早使用的一种xp系统下载防火墙技术，它的第一代模型是静态包过滤，工作在OSI模型中的网络层上，之后发展出来的动态包过滤则是工作在OSI模型的传输层上。包过滤防火墙工作的地方就是各种基于TCP/IP协议的数据报文进出的通道，它把这网络层和传输层作为数据监控的对象，对每个数据包的头部、协议、地址、端口、类型等信息进行分析，并与预先设定好的防火墙过滤规则进行核对，一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候，这个包就会被丢弃。 基于包过滤技术的防火墙的优点是对于小型的、不太复杂的站点，比较容易实现。但是其缺点是很显着的，首先面对大型的，复杂站点包过滤的规则表很快会变得很大而且复杂，规则很难测试。随着表的增大和复杂性的增加，规则结构出现漏洞的可能性也会增加。其次是这种防火墙依赖于一个单一的部件来保护系统。

❷ 如何选择高防服务器

1、带宽大小
现有的很多网络攻击采取的攻击方式都是消耗带宽型，所以带宽大小是判定是否为高防服务器的标准之一，带宽资源越大，支持服务器的防御能力就越大。
2、防御范围大小
高防服务器的数据中心都会安装防火墙设备，观测防火墙设备是否在100G以上。现如今非常少服务提供商能提供的总硬防会超出100G，在挑选的时候要擦亮眼睛，服务提供商的真正防御能力标准还是要客户利用测试工具来开展具体的测试。
3、看高防服务器可防御的攻击类型
选择高防服务器的时候要注意可否应对常见的网络层SYN、UDP、IMCP等泛洪攻击类型，可否支持HTTP特征过滤、URI过滤、host过滤等web应用防护功能，可否对frag flood，stream flood，land flood等畸形报文攻击产生有效防御。

❸ 如何选择适合自己的高防服务器

按考虑的重要性，以下罗列了八个中心因素:
1、选定定心的IDC公司。
IDC公司的挑选，首位考虑的是不是正规的IDC公司，是不是一手资源自主运营的，有没有实体的公司，有没有正规的ICP/ISP证书（一般惯例IDC公司都有ICP证，ISP证书是有必定规模的公司才具有的），有没有完善的售后服务，这些您都能够去看看同行长时间去哪里租借的机器作为参阅，查一查网上的评价等等
2、选定适宜的线路IP。
线路首要分单线、双线、多线BGP.单线一般默认电信线路，国内电信线路是比较成熟的，无论是带宽和防护都做得很到位，一般都是电信机房。双线，就是两条线路组合，现在干流的双线是电信+联通、电信+网络两种，前者比后者由于线路的拜访成本和质量关系租借价格稍高。线路的挑选首要考虑，您现在站点的拜访事务人群首要是在什么当地，南方访客占有大多数而北方访客比较少的话主张用电信单线就行，要是南北方访客都差不多，并且处于事务需要想做全国的事务，那双线就是最适宜的挑选
3、选定够用的带宽。
带宽的挑选是大多数客户很重视的一个环节，假如第一次租借高防服务器，不知道选多大的带宽资源的话，您这边能够多选几家比较正规的IDC咨询事务员，报上您现在的事务状况，让事务给您推荐，咱们全国数据每天都会接待很多的客户，一般正规公司都会很耐性为您回答的，无论您终究选不挑选在他那里租借高防服务器，这是一个原则。一般事务根底装备独享带宽在20M左右，这是行业的默认装备，拿到带宽之后您这边能够登录机器进行下载或许上传测试。有些客户会古怪说为什么租了20M独享带宽怎样下载速度在不同的软件下载速度都纷歧样，是的，不同的下载软件资源，由于您的地点地和软件资源地点当地都纷歧样，所以下载会有偏差，这个请您定心，您这边能够用软件工具测试全国各地的下载拜访状况，来看看平均拜访资源状况，切勿单单以自己的角度去看问题，由于拜访您站点的是全国各地的访客.
4、选定适宜的防护。
跟着互联网的开展，无论是企业还是民营站点对防护的需要越来越重视，防护，防的是CC、DDOS等干流进犯。防护，上了10G就算是高防了，一般惯例给机器的防护都是20-30G归于正常范围，全国数据的防护是能够随时加减的，单机防护能够在30-无限帮防护之间，依据线路的纷歧样价格从几百到几千不等,防护的大小挑选要密切衡量自己的成本和日常被进犯的状况，结合起来考虑，切勿盲目挑选，在挑选出现问题的时候能够随时联络IDC的售前客服，给您推荐
5、选定租借的机房。
国内防护比较好的机房一般会集在湖南和广东比较有名，湖南衡阳机房，广东的惠州机房、佛山机房等等。挑选机房，咱们要看除了看机房承诺的防护外要看机房的资质，机房的装备:发电机、线路，机房等级等等
6、选定适宜机型CPU。
现在一般干流都是八核的CPU了，不过也不是一味追求核数高就必定就是优胜的，例如品牌机器的八核或许就比组装机器如Q9300、Q8300的CPU愈加完善，就像苹果手机的四核比小米的八核或许运转起来愈加顺畅一个道理假如小站长用四核左右的机器就能够，中大型站长还是推荐八核以上的
7、选定适宜内存。
惯例内存装备都是8G左右，除非是一些大的站点事务，如下载网站、多人聊天、大的游戏站点等对内存的占有资源运用较高会单独提高装备，一开端租借高防服务器主张先运用默认装备，然后待观察机器内存占用状况来做出相应地增减，IDC公司如全国数据、仅有、群英等正规公司都是能够中途添加硬件的，所以不必过分担心，随时能够扩容
8、选定适宜的硬盘。
硬盘现在根底行业装备都是500-1T，一些中高站点主张运用1T的，不过中途都能够随时加减硬件，这个问题不大。
以上就是数据湾给大家说的几个在挑选高防服务器时需要看的几点，要考虑IDC公司、线路、带宽、防护、机器硬件装备：机型+CPU+内存+硬盘等等，由于不同事务所考虑的中心点不大相同，所以咱们需要捉住最中心的开端考虑。

❹ 如何挑选高防服务器

如何挑选高防服务器？

一：带宽和“范围”大小。首先，由于很多网络攻击采用的攻击方法是消耗带宽型，所以从反向思考，带宽的大小是判断是否为高防服务器的标准之一。

二：防御的范围大小，高防服务器的数据中心都会有防火墙设备，观察并检测防火墙设备是否在100G以上，目前最高的集群防火墙已经能达到T级防御了。

三：高防服务器能够防御的攻击类型也必须考虑，是否可应对常见的网络层SYN、UDP、IMCP等泛洪攻击类型，是否支持HTTP特征过滤、URI过滤、host过滤等web应用防护功能，能否对frag flood，smurf，stream flood，land flood等畸形报文攻击采取有效防御。

四：服务器的性能，可以对比参考一下各家云服务器厂商的IOPS值，这样综合考虑一定能选择到最优的高防服务器。

❺ 如何选择正确的防火墙

先要明确，防火墙不是路由器、交换机或者服务器。（虽然看起来比较象）所以不能用那些产品的指标来选择防火墙。那么选择防火墙应该注意哪些方面呢？

一安全性：这是重中之重。安全性不高的防火墙，其他性能再好也是空谈。安全性包括几个方面，自身安全性、访问控制能力和抗攻击能力。

自身安全性主要是指防火墙系统的健壮性，也就是说防火墙本身应该是难以被攻入的。还有防火墙的管理方式也很重要。管理员采用什么方式管理防火墙，是telnet还是web，有没有加密和认证等等。

访问控制能力是防火墙的核心功能。访问控制能力包括控制细度，也就是能控制哪些内容，比如地址、协议、端口、时间、用户、命令、附件等等。还要注意的就是控制强度，也就是说应该限制的内容必须全部阻断，应该通过的内容不应该有任何阻断。

抗攻击能力是指防火墙对各种攻击的抵抗能力。包括抵御攻击的种类，数量。特别是对DOS和DDOS攻击的抵抗力。目前对于DDOS攻击还没有什么完善的解决办法。因此对DDOS攻击主要看能抵御的强度有多大。

用户在选择防火墙的时候，自己来判断以上这些性能是很困难的。因为用户没有专门的测试工具和手段。用户可以根据一些第三方的认证和评测来辅助判断。比如能否拥有安全性较严格的军队认证、还有就是中国信息安全产品测评认证中心的等级证书。现在用的标准是国标GB/T18336，等级越高越好，一共7级。（不过现在最好的好像也就是EAL3）

二网络性能。

防火墙是个网络设备。在保证安全的基础上，应该最大程度减少对网络性能的影响。对于网络性能，主要就是看最大带宽、并发连接数、每秒新增连接数、丢包和延迟。这些指标和交换机、路由器都是相同的，这里就不多说了。但是有一点要注意。防火墙在策略起作用和全通策略的状态下，上述指标都是不一样的。用户一定要考虑实际环境。比如先按照用户的要求添加多少条策略（全通策略在最后）然后再测试。传说中有的百兆防火墙小包（64字节）通过率能达到70%以上，甚至90%，我觉得在实际使用中一定不可能。之所以能够测试出这样的数据只有两个可能：一是采用高性能硬件，比如采用了千兆网卡芯片，二是在测试机的内核做手脚。

三是网络功能。

这里包括的内容就多了，什么地址转换、IP/MAC绑定、静态和动态路由、源地址路由、代理、透明代理、ADSL拨号、DHCP支持、双机热备、负载均衡等等。

在这些眼花缭乱的功能里，用户应该有一双明亮的眼睛。因为并不是每一个功能用户都需要的，用户也不需要为了一些不需要的功能花冤枉钱。当然，价钱相等的情况下功能越多越好啊，呵呵。用户应该首先明确自己都需要什么功能，并且要确定这些功能都要达到什么效果。然后再寻找相应的设备。有些功能在不同厂家的定义是不同的。实现的效果也不一样。

四是管理功能。这里面的内容也不少。用户不要小看了这里的东西。防火墙这种设备不像交换机，安装好了50年不管。防火墙需要经常管理。日常的管理就是看日志，修订策略，添加和删除用户。更高的管理还包括第三方互动，VPN建立，远程集中管理等等。管理方面用户应该注意界面的友好性，设置选项应该通俗易懂。日志特别重要，好的日志系统应该有详细的记录，包括连接的状态和内容，应该便于分类和排序，应该方便存入数据库并有syslog等标准的接口。远程管理对用户来说要注意管理命令的加密和认证，是否支持策略远程导入导出等等。至于管理的界面是否好看，那就看个人喜好了。

五是质量。防火墙的质量表现可不是做工精细不精细啊，而是防火墙是否能经久耐用。现在比较先进的防火墙普遍采用的是贴板技术。也就是将所有的原件都采用贴片的工艺。这样整个防火墙都是一体的，自然不容易出故障。如果防火墙的内存，网口还采用插槽的方式，甚至还采用普通硬盘作为系统内核存储设备，那系统的稳定性就可想而知了。另外在高稳定性要求的环境里要看有没有双电源，大功率风扇等等。虽然看上去是细节，但是我可是知道很多防火墙室内温度一高就死机的。：）

上面说的内容都是对防火墙产品本身的一些介绍。我想大家应该对怎样选择防火墙有个原理性的认识了。那么下面就针对一些实际情况来讲一讲。先把我在一开始提的几个误区做个Q&A吧。

误区一：防火墙是国外的好。

解释：在网络安全领域，甚至是计算机领域，我们完全不用崇洋媚外。因为国内的研发力量已经渐渐在赶超了。当然，我们的整体实力还是有限的。但是，对于防火墙这种比较成熟的技术来说，我们完全可以做的和国外的一样好。国外品牌，大家熟知的checkpoint，为什么现在的市场份额越来越少？主要是自己不思进取。别人早都用硬件防火墙了，他还死抱着纯软件不放。现在和nokia合作推出硬件产品，是没办法的事。这种合作我也很不看好。毕竟对nokia来说这是小生意，不会重视的。在国内进行的多次评测中，国内的产品在性能指标上和国外的产品各有千秋。当然，国外的产品占了几个最，比如最快的产品是netscreen，支持协议最多的是checkpoint，入侵检测结合的最好的是fortinet。但是不要忘记，这些防火墙往往都是一个方面突出，然而其他方面就很一般了。国内的防火墙优势在于，功能比较全面，很容易用，服务本地化。片面强调一个功能对防火墙来说是不够的。用户应该结合自己的实际来选择防火墙。我认为国内的防火墙在性价比上是很好的。

也有人担心国内防火墙安全性不够。国家在这些方面都有专门的认证和评测机构。我想不是白吃饭的。（当然，有的评测确实只拿钱不测试）而国外的就一定安全么？我想更应该在心里划个问号。

误区二：防火墙纯硬件的比linux架构的好。

解释：硬件还是软件，这个只是跟实现原理有关。要实现防火墙的功能还是靠软件。ASIC的防火墙是把防火墙代码做在芯片里，运行的效率当然高。但是别的呢？防火墙可不是只做包检测的设备。还有很多别的功能。要想全部集成在芯片里，难度很大。特别是如果新出现了一个功能，要添加到原有的ASIC芯片里，往往很难。有人说ASIC芯片速度快。这个问题分两个角度来考虑。第一，韩国也有ASIC芯片的防火墙。而且国内也有OEM的（是哪一家我不说了），但是都是低端产品，并发连接只有几千而已。所以不是ASIC就一定好，要看研发的水平了。第二你需要这么快的速度么？速度是重要的，但不是唯一的。现在netscreen能做到几十个G，但是有个几个用户有这么大的带宽？除了电信，没几个用得着。而linux架构的防火墙在软件上可以很容易的添加功能，甚至可以应用户的要求订制开发。

误区三：防火墙各项指标越高越好。

其实还是那句话：按需选择。可能用户有的是钱，那当然另说了。但是在用户资金有限的情况下，还是应该仔细衡量一下，哪些指标对用户来说更有用。当然，选择产品时一定要有前瞻性，产品最好能适应今后两年网络的扩展。我曾经见过用户的选型方法是这样的：因为我们的专线是电信用光纤拉过来的，所以我们要用千兆防火墙和交换机。其实这根光纤只有8M。我想，电信发展的再快，专线速度达到100M以上恐怕也是5、6年以后的事情了（租金多少还难说），因此现在就选择千兆设备还不如选个好的光电转换模块。有的用户片面追求最大并发连接数，认为并发连接越大越好。其实这也是国内一些厂商的误导。最大并发连接够用就可以了。现在的国内厂家在这个指标上玩花样，你可以对比这两年同型号产品的公开指标，会发现有些产品的并发连接突然成倍增长。当然，也可能是产品升级了，但是很多情况是厂家为了打标，故意修改的数字。反正大部分用户都没条件测试最大并发，我写个几百万你怎么知道？其实对于百兆防火墙来说，有100万的并发应该足够了，富富有余。其他的指标也一样，按需选择才是根本。

❻ 内部有台web服务器， 选择防火墙的时候 该怎么选择

web服务器要发布出去，基本的防火墙都有这个功能，做个映射就行了。不过最好选择web应用防火墙，因为你内网部署web，被攻击了很危险，直接被人渗透进内网了。推荐铱迅web应用防护系统。

❼ 如何选购企业级防火墙

对于公司网络安全来说，防火墙起的是关键性的作用，只有它，才可以防止来自互联网上永不停止的各种威胁。防火墙的选择对远程终端连接到中心系统获取必要资源或完成重要任务的影响也非常大。当选择基于硬件的防火墙时，应当考虑以下十个方面的因素，以确保企业实现投资、安全性和生产力的最大化
1、必须可以提供值得信赖的安全
在市面上，UTM的种类非常多。根据商业模式的不同，一些网络安全设备可以提供大量的功能和全面的服务，但是需要公司承担高昂的价格，而另一些则只包含了基本的服务，但采购的成本也很低。
2、具有良好的易用性
在安全方面，全球跨国企业需要多级控制管理，但即使是这些需要大量保护的企业也不应该将设备配置方式限定在命令行模式下。很多防火墙都可以在提供高度安全性的同时，提供友好的图形界面以方便管理。
这样做的优点有几个方面。图形用户界面有助于防止安装时间出现错误。在图形用户界面下，更容易地诊断和纠正故障。图形用户界面也更易于培训工作人员，并进行调整、升级和更新。
在选择基于硬件的防火墙时，考虑到易用性也会带来很大的好处。一个平台越容易进行管理，就越容易找到可以进行安装、维护和故障处理等工作的专业人士。
3、必须包含VPN支持
防火墙存在的目的并不限于防止网络黑客的攻击和非法数据输出。一个好的防火墙还应该可以在为远程连接建立安全通道，并对其进行监测。在选择基于硬件的防火墙时，应该确保其支持同类设备的基于SSL-和IPSec-保护的VPN连接（以保护点至点或站点到站点VPN），让员工可以实现安全连接。

❽ 小公司服务器需要哪些 防火墙怎样选择。

你的服务器是什么应用？
如果是WEB，最好还是用WEB应用防火墙；
如果是OA、ERP、财务等很多品牌都可以，比如思科、华为、山石网科、联想网御等等，当然你也可以把服务器放在内网不直接对外发布，采用VPN的方式，外面的员工直接通过VPN登陆，会更安全。

❾ 如何选择适合自己的服务器

适合自己的服务这个每个人的要求都不一样，这怎么回答呢？可能适合我的不一定就会适合你，服务器你还是在网上看好的型号、性能、价格等之后，再去官网或者店铺做对比比较好。我说说我现在用的服务器吧，是在思腾合力京东店铺上购买的，性价比方面我觉得还是挺不错的，在我预算之内最适合我自己的，不管是服务器的性能还是质量都不错，反正用到现在都没有出现过什么问题，还挺好。你可以去做个参考对比下。

❿ 如何选择DDoS防御服务器

如何选择高防服务器：
1、服务器类型：主要分独立物理机、云服务器、虚拟机，要求高可以选择物理机或者云主机
2、配置：针对要求选择CPU、内存、硬盘大小参数
3、带宽：带宽方面根据程序的占用情况与访客量，带宽越高，访问网站时速度越快。所以访问量比较大需要选择较大带宽。
4、线路：常用线路有BGP线路（电信、联通、移动三线合一）、电信、联通、移动，建议是选择BGP线路。
6、防护：主要看服务商机房的出口，出口越大，能分配的防护越大，但防护这块越大价格也跟着提高，防护这块主要是买个保障，根据你的业务平常遭受的DDoS攻击情况选择购买防护套餐。
5、售后：选择正规服务商，24小时售后在线服务最好，现在很多服务商都是要机器提交工单，等工单下来什么都黄了。