過去寫過那么多服務(wù)器管理和服務(wù)器防御的文章，里面多涵蓋了waf和防火墻的區(qū)別，其中“服務(wù)器防火墻”這一詞，相信每位朋友的電腦多安裝或者打開過——服務(wù)器防火墻?；蛘哒f當(dāng)你在電腦上安裝軟件后，想要打開卻收到一個(gè)彈窗，對(duì)話框提示連接失敗，請(qǐng)檢查您的網(wǎng)絡(luò)防火墻。沒錯(cuò)，這就是我們所說的服務(wù)器防火墻。和高防服務(wù)器一樣，單說防防御，服務(wù)器防火墻是用來保護(hù)我們服務(wù)器機(jī)密數(shù)據(jù)的一道防線。

服務(wù)器防火墻：http://www.9358l.com/dedicated/hk-ddos.html

一、服務(wù)器防火墻的作用

①防火墻是保護(hù)網(wǎng)站的工具：入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。

②防止內(nèi)部信息的外泄：通過利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，實(shí)現(xiàn)重點(diǎn)網(wǎng)段隔離，限制局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。避免暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS，用戶的注冊(cè)名、真名，最后登錄時(shí)間和使用shell類型等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息。

③服務(wù)器防火墻能記錄下這些訪問并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)：當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。

④服務(wù)器防火墻具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN(虛擬專用網(wǎng))。

防火墻的是目前一種最重要的網(wǎng)絡(luò)防護(hù)設(shè)備。從專業(yè)角度講，防火墻是位于兩個(gè)(或多個(gè))網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)之間訪問控制的一組組件集合。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略：通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，集中安全管理更經(jīng)濟(jì)。在網(wǎng)絡(luò)訪問時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)可以不必分散，可以集中在防火墻一身上。

二、以下是兩種常見的服務(wù)器防火墻: 

網(wǎng)絡(luò)層防火墻和 應(yīng)用層防火墻。 這兩類型防火墻也許重疊; 的確, 單一系統(tǒng)會(huì)兩個(gè)一起實(shí)施。網(wǎng)絡(luò)層防火墻可視為一種 IP 封包過濾器，運(yùn)作在底層的 TCP/IP

協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻。這些規(guī)則通常可以經(jīng)由管理員定義或修改，不過某些防火墻設(shè)備可能只能套用內(nèi)置的規(guī)則。我們也能以另一種較寬松的角度來制定防火墻規(guī)則，只要封包不符合任何一項(xiàng)“否定規(guī)則”就予以放行。現(xiàn)在的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)置防火墻功能。

較新的防火墻能利用封包的多樣屬性來進(jìn)行過濾，例如：來源 IP 地址、來源端口號(hào)、目的 IP 地址或端口號(hào)、服務(wù)類型(如 WWW 或是FTP)。也能經(jīng)由通信協(xié)議、TTL 值、來源的網(wǎng)域名稱或網(wǎng)段...等屬性來進(jìn)行過濾。

應(yīng)用層防火墻

應(yīng)用層防火墻是在 TCP/IP 堆棧的“應(yīng)用層”上運(yùn)作，您使用瀏覽器時(shí)所產(chǎn)生的數(shù)據(jù)流或是使用 FTP時(shí)的數(shù)據(jù)流都是屬于這一層。應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進(jìn)到受保護(hù)的機(jī)器里。

防火墻借由監(jiān)測(cè)所有的封包并找出不符規(guī)則的內(nèi)容，可以防范電腦蠕蟲或是木馬程序的快速蔓延。不過就實(shí)現(xiàn)而言，這個(gè)方法既煩且雜(軟件有千千百百種啊)，所以大部分的防火墻都不會(huì)考慮以這種方法設(shè)計(jì)。

XML 防火墻是一種新型態(tài)的應(yīng)用層防火墻。

三、高防服務(wù)器防火墻的性能指標(biāo)：

1、吞吐量：服務(wù)器防火墻能同時(shí)處理的最大數(shù)據(jù)量;衡量標(biāo)準(zhǔn)，吞吐量越大，性能越高。

2、時(shí)延：數(shù)據(jù)包的第一個(gè)比特進(jìn)入服務(wù)器防火墻到最后一個(gè)比特輸出服務(wù)器防火墻的時(shí)間間隔指標(biāo)，衡量標(biāo)準(zhǔn)：延時(shí)越小，性能越高。

3、丟包率：在連續(xù)負(fù)載的情況下，服務(wù)器防火墻由于資源不足，應(yīng)轉(zhuǎn)發(fā)但是未轉(zhuǎn)發(fā)的百分比;衡量標(biāo)準(zhǔn)：丟包率越小，服務(wù)器防火墻的性能越高。

4、背靠背：緩存，主要是指防火墻緩沖容量的大小。網(wǎng)絡(luò)上常會(huì)出現(xiàn)一些突發(fā)的大流量(例如：NFS，備份，路由更新等)，而且這樣的數(shù)據(jù)包的丟失可能會(huì)產(chǎn)生更多的數(shù)據(jù)包丟失。強(qiáng)大的緩沖能力可以減小對(duì)這種突發(fā)網(wǎng)絡(luò)情況造成的影響。