如何為服務(wù)器應(yīng)用發(fā)布選擇防火墻網(wǎng)關(guān)？是UTM防火墻（UTMWALL）？下一代防火墻（NGFW）？還是下下一代防火墻？本文為您列舉了8個(gè)關(guān)鍵性功能，是服務(wù)器降低遭受高持續(xù)性滲透攻擊（APT）風(fēng)險(xiǎn)的最佳解決方案，也是公安部最新頒布的第二代防火墻標(biāo)準(zhǔn)的具體解讀，請(qǐng)大家在選擇時(shí)參考。

一、基于策略的NAT規(guī)則（DNAT）及管理請(qǐng)求的訪問(wèn)控制（ACL）

用于為各種來(lái)源IP、目的IP、例外IP、請(qǐng)求時(shí)間的網(wǎng)絡(luò)請(qǐng)求提供不同的端口轉(zhuǎn)發(fā)策略，方便服務(wù)器的管理及部署，方便內(nèi)網(wǎng)用戶通過(guò)公網(wǎng)IP或域名訪問(wèn)架設(shè)在自家內(nèi)網(wǎng)里的服務(wù)器；提供虛擬IP（VIP）功能，實(shí)現(xiàn)對(duì)多個(gè)公網(wǎng)IP資源的充分利用；面向公網(wǎng)訪問(wèn)的移動(dòng)管理員用戶、分支機(jī)構(gòu)、合作伙伴提供精細(xì)的ACL控制策略，防止FTP、SSH、遠(yuǎn)程桌面等內(nèi)部應(yīng)用被非法、越權(quán)訪問(wèn)，避免被掃描或暴力破解。

二、WAN口多鏈路接入（M-WAN）

用于為電信、網(wǎng)通、教育網(wǎng)等不同ISP網(wǎng)絡(luò)的用戶提供本地化接入，對(duì)來(lái)自不同ISP網(wǎng)絡(luò)的請(qǐng)求按接入線路返回服務(wù)器數(shù)據(jù)包，可以優(yōu)化網(wǎng)絡(luò)速度，提高服務(wù)質(zhì)量。

三、服務(wù)器負(fù)載均衡（SLB）及反向代理（R-Proxy）

用于將網(wǎng)絡(luò)請(qǐng)求流量平均分配到DMZ區(qū)內(nèi)2臺(tái)或以上的服務(wù)器上，并負(fù)責(zé)對(duì)服務(wù)器進(jìn)行健康檢查，可以提高服務(wù)器響應(yīng)速度、保障24小時(shí)在線率，保障網(wǎng)站的可擴(kuò)展性，提高服務(wù)質(zhì)量；對(duì)于內(nèi)網(wǎng)幾臺(tái)獨(dú)立的WEB服務(wù)器共用一個(gè)公網(wǎng)IP的情況，可以開(kāi)啟反向代理功能實(shí)現(xiàn)連通。

四、WEB防火墻（WAF）或及入侵檢測(cè)與防御（IDP）

用于實(shí)時(shí)攔截黑客通過(guò)SQL注入、XSS等方式掃描、入侵服務(wù)器，阻止黑客掃描管理后臺(tái)網(wǎng)址及備份文件等敏感文件，阻止黑客上傳并利用WEBSHELL后門程序，或通過(guò)白名單的方式100%保障政府、公司等展示型網(wǎng)站的安全；IDC服務(wù)商可以利用WAF，以白名單的方式屏蔽沒(méi)有在國(guó)內(nèi)備案的域名，既符合了通信局的法規(guī)同時(shí)也節(jié)省了管理成本。

五、抗SYN洪水、CC攻擊

用于阻攔黑客發(fā)送SYN洪水、CC攻擊包攻擊服務(wù)器，合理分配每用戶可用資源，防止出現(xiàn)服務(wù)器資源耗竭，可以剔除有害流量，保證服務(wù)器的接通率。

六、異常流量檢測(cè)

用于檢測(cè)、定位內(nèi)外網(wǎng)用戶發(fā)出的各種持續(xù)流量（掃描、攻擊、WEBSHELL、直接連接數(shù)據(jù)庫(kù)服務(wù)器）、上傳流量（黑頁(yè)、掛馬）、超大流量（拖庫(kù)）和DDOS流量，且能夠提供Netflow數(shù)據(jù)流，方便集中存儲(chǔ)及管理，可以保證服務(wù)器的接通率，快速排除故障隱患。

七、內(nèi)網(wǎng)上網(wǎng)行為控制

用于記錄內(nèi)網(wǎng)服務(wù)器、PC的上網(wǎng)行為，防止內(nèi)網(wǎng)ARP病毒攻擊，防止黑客留下的木馬、后門程序，防止內(nèi)部員工未經(jīng)授權(quán)的FTP上傳等破壞服務(wù)器原始內(nèi)容的行為，可以方便地查找來(lái)自內(nèi)網(wǎng)的入侵行為，保障服務(wù)器的完整性；開(kāi)啟POP3郵件過(guò)濾功能，屏蔽危險(xiǎn)或所有附件，防止木馬攻擊。

八、至少60天的本地日志存儲(chǔ)

用于在防火墻內(nèi)部記錄用戶方發(fā)出的WEB URL、POST等請(qǐng)求信息，上級(jí)ISP路由器連通性檢測(cè)結(jié)果以及防火墻自身CPU、內(nèi)存、網(wǎng)絡(luò)吞吐量、會(huì)話數(shù)、并發(fā)用戶數(shù)等24小時(shí)運(yùn)行趨勢(shì)圖，防止因黑客刪除服務(wù)器日志、服務(wù)器硬件故障等導(dǎo)致的日志丟失，可以為本單位及公安局日后查找上網(wǎng)記錄提供可靠的日志“黑匣子”服務(wù)。

天下數(shù)據(jù)提供美國(guó)高防服務(wù)器、香港高防服務(wù)器、韓國(guó)高防服務(wù)器、佛山高防服務(wù)器等；高防機(jī)房很好的解決各種CC、流量等DDOS攻擊，另外還是DDOS高防IP為您的業(yè)務(wù)保駕護(hù)航。詳詢?cè)诰�客服！

本文鏈接：http://m.51huadong.com/cloundnews/11003179.html