首页
关于我们
产品介绍
解决方案
最新动态
加入我们
在线下单
关于我们
公司介绍
荣誉资质
联系我们
产品介绍
企业组网
SD-WAN服务
专线接入
安全产品
互联网数据中心
企业上云
工业互联网
极狐Gitlab
解决方案
地产行业
医疗行业
金融行业
零售行业
制造行业
最新动态
公司新闻
行业动态
案例库
信息公开
社会招聘
校园招聘
采购需求项目
在线下单
互联网数据中心
专线接入
企业组网
企业上云
SD-WAN服务
Smart VPN
首页
关于我们
公司介绍
荣誉资质
联系我们
产品介绍
企业组网
SD-WAN服务
专线接入
安全产品
互联网数据中心
企业上云
工业互联网
极狐Gitlab
解决方案
地产行业
医疗行业
金融行业
零售行业
制造行业
最新动态
公司新闻
行业动态
案例库
加入我们
社会招聘
校园招聘
在线下单
互联网数据中心
专线接入
企业组网
企业上云
SD-WAN服务
Smart VPN
English
购物车
登录
/
注册
会员中心
/
退出
最新动态
了解我们,行业趋势以及包罗万象的新知识
公司新闻
行业动态
案例库
您所在的位置:
首页
最新动态
行业动态
数据中心如何合理构建防火墙实现数据防护?
2019年12月20日
数据中心如何合理构建防火墙实现数据防护?
大型
数据中心
都配备高防服务器以供用户选择,防护用户的数据不被轻易盗取,同时,免受DDoS/CC等流量攻击的影响,那么
数据中心
都是如何来设立防火墙安全策略的呢?
在大多数攻击事件中,防火墙自身漏洞很少有问题。黑客在进行攻击时往往不会采取硬攻的方式,而是通过扫描漏洞的方式,来通过端口和服务器漏洞进入。因为任何明智的管理员都会将配置防火墙使其丢弃那些连接防火墙的企图。
例如,即使在用户的防火墙上有一个已知的SSH漏洞,这种威胁也只能来自防火墙指定的受到良好保护的管理工作站,更别说这种工作站被关闭的情况了。事实上,防火墙的最大问题在于其维护上的薄弱、糟糕的策略及网络设计。在与防火墙有关的安全事件中,人的因素造成的破坏占到了大约99%的比例。更糟的是,如果你运行多个厂商的防火墙,那么其成本将迫使用户放弃一些需要特别关注的问题。用户最好将有限的资源花费在强化一种平台上,而不要全面出击。
防火墙设计的目的是什么?
防火墙作为位于内部网络与外部网络之间的网络安全系统,常常被用来过滤安全和危险数据。而防火墙也并非完全万无一失。通过良好的防火墙策略和网络设计可以最大程度预防,做到主动防御如下攻击行为:
一种良好的防火墙策略和网络设计应当能够减少,而不是根除下面的这些安全风险:
1.来自互联网的攻击DMZ服务的攻击.
2.企业网络的任一部分攻击互联网.
3.企业用户或服务器攻击DMZ服务器.
4.DMZ服务器攻击用户、服务器,或者损害自身.
5.来自合伙人和外延网(extranet)的威胁.
6.来自通过WAN连接的远程部门的威胁.
第一点是非常明显的,那就是限制通过互联网试图访问DMZ服务器的服务端口,这就极大地减少了它们被攻克的机会。例如,在一个SMTP邮件服务器上,仅允许互联网的通信通过25号TCP端口。因此,如果这台SMTP服务器碰巧在其服务器服务或程序中有一个漏洞,它也不会被暴露在互联网上,蠕虫和黑客总在关心80号端口的漏洞。
最不好对付的是内部威胁。多数昂贵的防火墙并不能借助传统的设计来防止网络免受内部攻击者的危害。如一个恶意用户在家里或其它地方将一台感染恶意代码的笔记本电脑挂接到网络上所造成的后果可想而知。一个良好的网络设计和防火墙策略应当能够保护DMZ服务器,使其免受服务器和用户所带来的风险,就如同防御来自互联网的风险一样。
事情还有另外一方面。因为DMZ服务器暴露在公共的互联网上,这就存在着它被黑客或蠕虫破坏的可能。管理员采取措施限制DMZ服务器可能对内部服务器或用户工作站所造成的威胁是至关重要的。此外,一套稳健的防火墙策略还可以防止DMZ服务器进一步损害自身。如果一台服务器被黑客通过某种已知或未知的漏洞给破坏了,他们做的第一件事情就是使服务器下载一个rootkit。
企业的防火墙借助于超过传统防火墙的附加功能可以提供简单而集中化的广域网和外延网的安全管理,还可以进一步减少来自外延网合伙人及远程办公部门WAN的威胁。连接这些网络的路由器使用了广域网技术,如帧中继、VPN隧道、租用私有线路等来保障,这些路由器也可以由防火墙来保障其安全。利用每一台路由器上的防火墙特性来实施安全性太过于昂贵,这样不但造成硬件成本高,更主要的是其设置和管理上难度也很大。
关键在于防火墙能够限制不同网络区域的通信,这些区域是根据逻辑组织和功能目的划分的。但防火墙不能限制并保护主机免受同一子网内的其它主机的威胁,因为数据绝对不会通过防火墙接受检查。
这也就是为什么防火墙支持的区域越多,它在一个设计科学的企业网络中也就越有用。由于一些主要的厂商都支持接口的汇聚,所以区域划分实现起来也就简单多了。单独一个千兆比特的端口可以轻松地支持多个区域,并且比几个快速以太网端口的执行速度更快。
你具体知道云数据中心的构建与实现这些知识吗?
数据中心机房的建设有哪些要求?
太平洋电信首批通过SD-WAN Ready 2.0服务认证,赋能企业数字化转型
相关文章
MPLS是什么?与SD-WAN有何区别?
设置SD-WAN需要哪些硬件?
了解更多 >>
您身边的数字化转型专家
太平洋电信致力于为全球企业提供创新ICT解决方案,助力企业更加轻松的实现数字化转型
走进太平洋电信