由于现在的网络环境越来越复杂,而且不少黑客和恶意攻击已经把主要目标锁定在机房的服务器上,所以不少网络公司也为服务器的安全问题深感头痛。于是,对数据中心机房的安全要求也提上日程,很多用户对于服务器机房的要求侧重点也有所变化,机房是否采用专业的硬件防火墙成为一个必要的考虑因素,而托管价格和机房其他设施的考核则次于安全问题。
鉴于市场对机房网络安全问题的日益重视,很多IDC运营商也纷纷采用了各式各样的防火墙方案,然后在站点上宣传“本机房采用千兆硬件防火墙”,或是“机房使用抗DDos防火墙”。
其实目前针对数据中心机房设计的防火墙产品并不是很多,比起单机版的服务器防火墙百花齐放的局面,局网联防的专业防火墙比较著名的也就寥寥可数的几款,下面我们就来看看这些IDC机房宣传中所说的硬件防火墙的真实面目:
·金盾防火墙
金盾防火墙诞生于2002年,是亚维恩科(北京)信息技术有限公司与中新软件共同创造的业内领先的网络安全产品。金盾防火墙有针对不同应用需求而设计的几类产品,比较成功的是它的JDFW系列,前两年整合了多种最佳网络边界安全功能的JDFW--100M、及JDFW--1000M硬件防火墙就在不少IDC机房中得到了广泛的应用。
JDFW--100M及JDFW--1000M硬件防火墙, 采用防护模块化设计及独特的处理架构,包括新型第四代ASIC芯片的整合了防火墙及VPN功能,以及完善高效率的核心入侵检测与防护(IDP)功能。具备卓越的性能,以及灵活性和可扩展性,从而有效抵御今天和未来日益复杂的网络威胁。独特的处理架构还包括了强大的连接跟踪机制,产品内部实现了完整的TCP协议栈状态,使每个进入的连接,防火墙都会根据其源地址进行分类,并显示给用户,方便用户对受保护主机状态的监控。同时还提供连接超时,临时屏蔽,永久屏蔽等功能,弥补了TCP协议本身的不足,使您的服务器在攻击中游刃有余。所以说,金盾防火墙是企业、电信运营商和数据中心的网管人员的理想选择,可帮助他们有效应对不断增加且更为隐蔽的网络攻击,同时确保超卓的网络性能,平衡有限的网络资源和预算。
现在金盾新一代的产品已经问世了,大概是为了延续前代产品较好的市场形象,新产品命名为200型和2000型,可抵御200Mbps(JDFW-200型)或者2GBps(JDFW-2000型)的攻击流量,充分利用现有的带宽实现更强的防御效果。
JDFW-200型防火墙基本参数如下:
硬件设备:JDFW-200型硬件防火墙一台
接入环境:双百兆线路
管理方式:WEB,SSH,UART
性能参数:可达双百兆线速,即64字节报文下可达200Mbps的报文处理能力
JDFW-2000型防火墙基本参数如下:
硬件设备:JDFW-2000型硬件防火墙一台
接入环境:双千兆线路
管理方式:WEB,SSH,UART
性能参数:64字节报文下可达1.2Gbps的处理能力
128字节报文下可达1.6Gbps的处理能力
256-1514字节报文下可达1.9Gbps的处理能力
简评:金盾防火墙比较适合于对各种常规的网络恶意攻击进行防护,属于综合型的防火墙,因此应用也比较普遍。
·黑洞防火墙
说起黑洞,比较有意思的是一个著名的黑客程序也叫这名字。不过,在抗DDos安全领域,黑洞防火墙也是非常的有名,该产品于2002年9月正式推向市场,是绿盟科技开发的一款高技术含量产品,在抗DDos行业,这款防火墙据说已经达到国际一流水平,从一些机房技术人员的反馈中也基本证实了这一说法。
黑洞目前分百兆、千兆两款产品,分别可以在相应网络环境下实现对高强度攻击的有效防护,性能远远超过同类防护产品。千兆黑洞主要用于保护骨干线路上的网络设备如防火墙、路由器,百兆黑洞主要用于保护子网和服务器。
黑洞的核心算法由汇编实现,针对Intel IA32体系结构进行了指令集优化。对标准TCP状态进行了精简和优化,效率远高于目前流行的SYN Cookie和Random Drop等算法。
另外,黑洞使用多种算法识别攻击和正常流量,能在高攻击流量环境下保证95%以上的连接保持率和95%以上的新连接发起成功率。
黑洞可防护种类:
能够对SYN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各类DoS攻击进行防护。
可以有效防止连接耗尽,主动清除服务器上的残余连接,提高网络服务的品质;可以抑制网络蠕虫的扩散。
可以防护DNS Query Flood,保护DNS服务器正常运行。
可以给各种端口扫描软件反馈迷惑性信息,因此也可以对其它类型的攻击起到防护作用。
防护范围:
能够保护网络主机、路由器、防火墙等网络设备,以及整个子网。
简评:黑洞防火墙是专业的抗DDos防火墙,主要针对现在日益猖獗的分布式拒绝服务攻击,属于单方面防御效果较突出的产品。
·DOSNIPE防火墙
遐迩科技的DOSNIPE系列防火墙也是机房防火墙中比较出色的产品,抗DDos攻击功能也很强,现已推出DosNipe V8.0版本,此核心极其高效,可以抵御一切拒绝服务攻击。特别是针对CC攻击,最新更新的算法可以高效的抵御所有CC攻击及其变种,识别准确率为100%,没有任何误判的可能性,成为国内第一款在硬件上彻底解决CC攻击的防火墙。
DOSNIPE防火墙还在此基础上实现了防火墙集群性防护的功能,并且在各大机房成功的应用。集群技术的实现将使防火墙产业进入低价高防的新时代。
DOSNIPE防火墙有多个型号,如DOSNIPE DS220、DOSNIPE DS400、DOSNIPE DS500、DOSNIPE DS800等,我们可以看看最新的DOSNIPE DS1200 抗DDOS防火墙:
型号 : DS1200
级别 : 千M骨干级
网络接口: 四个千M电口,四个光纤口
外设接口 :一个标准串口(RS232,DTE,9600-8-N-1)
吞吐量 : 2000M 最多可保证128字节包长下的线速连接
攻击防御量(64字节小包) 2000M
并发连接数 :无限制
延迟 : ≤10um
说明: 自主知识产权一次性单向非法数据包识别方法算法内核,独家单向一次性包过滤技术.
特性: 防止连接耗尽 即插即用,网络隐身,无IP地址 精简和优化的TCP协议,主机识别 ,入侵检测, Console和Web双重管理模式,大型企业的首选.
防御种类:
SYNFLOOD 及其变种
ACKFLOOD 及其变种
ICMPFLOOD及其变种
UDPFLOOD 及其变种
DRDOS 及其变种
LANDFLOOD及其变种
DNS QUERY FLOOD及其变种
Stream Flood 及其变种
IP Fragment attack
及部分未知DOS攻击CC防护等
简评:DosNipe防火墙也是抗DDos能力比较突出的专业防火墙,在IDC机房中有不少典型案例。
小结:
上面这几款防火墙就是目前IDC机房中比较常用的安全设备,不过很多时候只采用一款防火墙还难以做到万无一失,因此一些机房也推出了“双防火墙”甚至是“三防火墙”方案,例如采用金盾+黑洞的配合,实现全方位的防护,因此,大家在选择IDC的时候不妨多看看他们网站上关于网络安全设备方面的介绍再进行比较,相信对大家还是很有好处的。
欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com |
关注天下网吧微信,了解网吧网咖经营管理,安装维护:
本文来源:IT.com.cn 作者:佚名