用於服務器接入的防火牆網關的八個關鍵×××

      如何爲服務器應用發佈選擇防火牆網關？是第一代防火牆（FIREWALL）？還是第二代/下一代防火牆（UTMWALL/NGFW）？還是下下一代防火牆？本文爲您列舉了8個關鍵×××，是服務器降低遭受高持續性******（APT）風險的最佳解決方案，請大家在選擇時參考。

根據網絡規模及用戶實際，這8個功能可以集中在一臺防火牆上，並將各服務器與局域網劃分成不同的安全域（如上圖所示），這樣可以保證即使一個安全域內的服務器被黑也不會影響到內網PC或其它服務器，將損失控制在最小範圍內，同時也方便管理，節省空間，降低總體擁有成本（TCO）；也可以將這8個功能分佈於多臺串聯或並聯的安全設備中，做到專機專用，應付大流量網絡的需求。以下是這8大關鍵×××詳述：
一、基於策略的NAT規則（DNAT）、訪問控制（ACL）及用戶認證（AAA）
用於爲各種來源IP、目的IP、例外IP、請求時間的網絡請求提供不同的端口轉發策略，方便服務器的管理及部署，方便內網用戶通過公網IP或域名訪問架設在自家內網裏的服務器；提供虛擬IP（VIP）功能，實現對多個公網IP資源的充分利用；面向公網訪問的移動管理員用戶、分支機構、合作伙伴提供精細的ACL控制策略，防止數據庫、API調用、FTP、SSH、遠程桌面等內部應用被非法、越權訪問，避免被掃描或暴力破解；如果用戶IP是動態的，無法事先確定ACL中的源IP，則可以運用用戶認證技術，爲用戶提供WEB認證門戶，讓認證過的用戶訪問內部應用，還可以通過批處理、源代碼編程實現認證自動化，由此構成的資源訪問控制系統比×××性能更好、部署更方便，適合大規模的廣域網用戶安全、高效地訪問內網應用或局域網中內部應用的安全訪問。 
二、WAN口多鏈路接入（M-WAN）
用於爲電信、網通、教育網等不同ISP網絡的用戶提供本地化接入，對來自不同ISP網絡的請求按接入線路返回服務器數據包，可以優化網絡速度，提高服務質量。
三、服務器負載均衡（SLB）及反向代理（R-Proxy）
用於將網絡請求流量平均分配到DMZ區內2臺或以上的服務器上，並負責對服務器進行健康檢查，可以提高服務器響應速度、保障24小時在線率，保障網站的可擴展性，提高服務質量；對於內網幾臺獨立的WEB服務器共用一個公網IP的情況，可以開啓反向代理功能實現連通。
四、WEB防火牆（WAF）、***檢測與防禦（IDP）或及蜜罐檢測（HoneyPot）
用於實時攔截***通過SQL注入、XSS等方式掃描、***服務器，阻止***掃描管理後臺網址及備份文件等敏感文件，阻止***上傳並利用WEBSHELL後門程序，或通過白名單的方式100%保障政府、公司等展示型網站的安全；IDC服務商可以利用WAF，以白名單的方式屏蔽沒有在國內備案的域名，既符合了通信局的法規同時也節省了管理成本。用戶可根據網上權威信息自定義7層IDP特徵碼用於防禦應用廠家未能及時發佈補丁的0day***，或者開啓蜜罐檢測+網絡審計功能，用於發現、誘捕、阻攔潛在的***（C段掃描）或殭屍網絡。
五、抗SYN洪水、CC***
用於阻攔***發送SYN洪水、CC***包***服務器，合理分配每用戶可用資源，防止出現服務器資源耗竭，可以剔除有害流量，保證服務器的接通率。
六、異常流量檢測
用於檢測、定位內外網用戶發出的各種持續流量（掃描、***、WEBSHELL、暴力猜測密碼、撞庫

——用第三方數據庫猜測用戶信息、直接連接數據庫服務器）、上傳流量（黑頁、掛馬）、超大流量（***）和DDOS流量，且能夠提供Netflow數據流，方便集中存儲及管理，可以保證服務器的接通率，快速排除故障隱患。

七、內網上網行爲控制
用於記錄內網服務器、PC的上網行爲，防止內網ARP病毒***，防止***留下的***、後門程序，防止內部員工未經授權的FTP上傳等破壞服務器原始內容的行爲，可以方便地查找來自內網的***行爲，保障服務器的完整性；開啓POP3郵件過濾功能，屏蔽危險或所有附件，防止******。
八、至少60天的本地日誌存儲
用於在防火牆內部記錄用戶方發出的WEB URL、POST等請求信息，上級ISP路由器連通性檢測結果以及防火牆自身CPU、內存、網絡吞吐量、會話數、併發用戶數等24小時運行趨勢圖，防止因***刪除服務器日誌、服務器硬件故障等導致的日誌丟失，可以爲本單位及公安局日後查找上網記錄提供可靠的日誌“黑匣子”服務。

全文下載: 
http://www.trustcomputing.com.cn/utmwall-rom/Key_Function_of_a_IDC_Firewall.doc

中神通UTMWALL-OS常見問答FAQ：

http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=609

中神通UTMWALL-ROM免費實現網絡安全基線：
http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=41