服務器網(wǎng)絡安全如何保障

　　當今時代，網(wǎng)絡安全問題得到大家的關注，為了避免自己的利益受到損失，許多人都會保障自己網(wǎng)絡的安全，那么，服務器的網(wǎng)絡安全大家清楚嗎?學習啦小編在這里給大家詳細介紹。

　　服務器的網(wǎng)絡安全中從頭部署新的防火墻策略是一件復雜的事情，你要綜合考慮許多方面。一般來說，防火墻有兩種工作模式，稱為路由模式和透明模式，在路由模式下，防火墻就象一個路由器，能進行數(shù)據(jù)包的路由。

　　不同的是，它能識別網(wǎng)絡第四層協(xié)議(即傳輸層)的信息，因此它能基于TCP/UDP端口來進行過濾。在該模式下，防火墻本身要配備兩個或多個網(wǎng)絡地址，你的網(wǎng)絡結(jié)構會被改變。在透明模式下，防火墻更象一個網(wǎng)橋，它不干涉網(wǎng)絡結(jié)構，從拓撲中看來，它似乎是不存在的(因此稱為透明)。但是，透明模式的防火墻同樣具備數(shù)據(jù)包過濾的功能。透明模式的防火墻不具備IP地址。這兩種模式的防火墻都提供網(wǎng)絡訪問控制功能，例如你可以在防火墻上設置，過濾掉來自因特網(wǎng)的對服務器的NFS端口的訪問請求。

　　在網(wǎng)絡中使用哪種工作模式的防火墻取決于你的網(wǎng)絡環(huán)境。一般來說，如果你的服務器使用真實IP地址(該地址一般是IDC分配給你的)，會選擇防火墻的透明模式。因為在該模式下，你的服務器看起來象直接面對互聯(lián)網(wǎng)一樣，所有對服務器的訪問請求都直接到達服務器。當然，在數(shù)據(jù)包到達服務器之前會經(jīng)過防火墻的檢測，不符合規(guī)則的數(shù)據(jù)包會被丟棄掉(從服務器編程的角度看，它不會覺察到數(shù)據(jù)包實際已被處理過)。

　　實際上為了安全起見，很多服務器都采用私有IP地址(例如172.16.0.0/16和192.168.0.0/24都屬于私有IP地址)，如果這些服務器不必對外提供服務，那么就最安全不過了，如果要對外提供服務，就有必要通過防火墻的NAT(網(wǎng)絡地址轉(zhuǎn)換)來滿足來自因特網(wǎng)的訪問要求。NAT是防火墻的一項功能，它實際上工作在路由模式下。

　　大多數(shù)防火墻都會區(qū)分所謂的正向NAT和反向NAT，所謂正向NAT就是指從內(nèi)網(wǎng)出去的數(shù)據(jù)包，在經(jīng)過防火墻后，包頭會被改寫，源IP被改寫成防火墻上綁定的IP地址(或地址池，肯定是公網(wǎng)真實IP)，源端口也會有所改變，回來的數(shù)據(jù)包經(jīng)過同樣處理，這樣就保證內(nèi)網(wǎng)具有私有IP的主機能夠與因特網(wǎng)進行通信。在反向NAT的實現(xiàn)中，會將服務器的公網(wǎng)IP綁定在出口處的防火墻上，服務器只會使用一個私有IP，防火墻會在它的公網(wǎng)IP和這個私有IP之間建立一個映射，當外網(wǎng)對這臺服務器的請求到達防火墻時，防火墻會把它轉(zhuǎn)發(fā)給該服務器。當然，在轉(zhuǎn)發(fā)之前，會先匹配防火墻規(guī)則集，不符合規(guī)則的數(shù)據(jù)包將被丟棄。

　　使用反向NAT，會大大提高服務器的安全性。因為任何用戶的訪問都不是直接面對服務器，而是先要經(jīng)過防火墻才被轉(zhuǎn)交。而且，服務器使用私有IP地址，這總比使用真實地址要安全。在抗拒絕服務攻擊上，這種方式的成效更顯然。但是，相對于透明模式的防火墻，采用反向NAT方式的防火墻會影響網(wǎng)絡速度。如果你的站點訪問流量超大，那么就不要使用該種方式。值得一提的是，CISCO的PIX在NAT的處理上性能異常卓越。