由 于现在的网络环境越来越复杂,而且不少***和恶意***已经把主要目标锁定在机房的服务器上,所以不少网络公司也为服务器的安全问题深感头痛。于是,对数据 中心机房的安全要求也提上日程,很多用户对于服务器机房的要求侧重点也有所变化,机房是否采用专业的硬件防火墙成为一个必要的考虑因素,而托管价格和机房 其他设施的考核则次于安全问题。
鉴于市场对机房网络安全问题的日益重视,很多IDC运营商也纷纷采用了各式各样的防火墙方案,然后在站点上宣传“本机房采用千兆硬件防火墙”,或是“机房使用抗DDos防火墙”。
其实目前针对数据中心机房设计的防火墙产品并不是很多,比起单机版的服务器防火墙百花齐放的局面,局网联防的专业防火墙比较著名的也就寥寥可数的几款,下面我们就来看看这些IDC机房宣传中所说的硬件防火墙的真实面目:
·金盾防火墙
金盾防火墙诞生于2002年,是亚维恩科(北京)信息技术有限公司与中新软件共同创造的业内领先的网络安全产品。金盾防火墙有针对不同应用需求而设计的几 类产品,比较成功的是它的JDFW系列,前两年整合了多种最佳网络边界安全功能的JDFW--100M、及JDFW--1000M硬件防火墙就在不少 IDC机房中得到了广泛的应用。
JDFW--100M及JDFW--1000M硬件防火墙, 采用防护模块化设计及独特的处理架构,包括新型第四代ASIC芯片的整合了防火墙及×××功能,以及完善高效率的核心***检测与防护(IDP)功能。具备 卓越的性能,以及灵活性和可扩展性,从而有效抵御今天和未来日益复杂的网络威胁。独特的处理架构还包括了强大的连接跟踪机制,产品内部实现了完整的TCP 协议栈状态,使每个进入的连接,防火墙都会根据其源地址进行分类,并显示给用户,方便用户对受保护主机状态的监控。同时还提供连接超时,临时屏蔽,永久屏 蔽等功能,弥补了TCP协议本身的不足,使您的服务器在***中游刃有余。所以说,金盾防火墙是企业、电信运营商和数据中心的网管人员的理想选择,可帮助他 们有效应对不断增加且更为隐蔽的网络***,同时确保超卓的网络性能,平衡有限的网络资源和预算。
现在金盾新一代的产品已经问世了,大概是为了延续前代产品较好的市场形象,新产品命名为200型和2000型,可抵御200Mbps(JDFW-200型)或者2GBps(JDFW-2000型)的***流量,充分利用现有的带宽实现更强的防御效果。
JDFW-200型防火墙基本参数如下:
硬件设备:JDFW-200型硬件防火墙一台
接入环境:双百兆线路
管理方式:WEB,SSH,UART
性能参数:可达双百兆线速,即64字节报文下可达200Mbps的报文处理能力
JDFW-2000型防火墙基本参数如下:
硬件设备:JDFW-2000型硬件防火墙一台
接入环境:双千兆线路
管理方式:WEB,SSH,UART
性能参数:64字节报文下可达1.2Gbps的处理能力
128字节报文下可达1.6Gbps的处理能力
256-1514字节报文下可达1.9Gbps的处理能力
简评:金盾防火墙比较适合于对各种常规的网络恶意***进行防护,属于综合型的防火墙,因此应用也比较普遍。
·黑洞防火墙
说起黑洞,比较有意思的是一个著名的***程序也叫这名字。不过,在抗DDos安全领域,黑洞防火墙也是非常的有名,该产品于2002年9月正式推向市场, 是绿盟科技开发的一款高技术含量产品,在抗DDos行业,这款防火墙据说已经达到国际一流水平,从一些机房技术人员的反馈中也基本证实了这一说法。
黑洞目前分百兆、千兆两款产品,分别可以在相应网络环境下实现对高强度***的有效防护,性能远远超过同类防护产品。千兆黑洞主要用于保护骨干线路上的网络设备如防火墙、路由器,百兆黑洞主要用于保护子网和服务器。
黑洞的核心算法由汇编实现,针对Intel IA32体系结构进行了指令集优化。对标准TCP状态进行了精简和优化,效率远高于目前流行的SYN Cookie和Random Drop等算法。
另外,黑洞使用多种算法识别***和正常流量,能在高***流量环境下保证95%以上的连接保持率和95%以上的新连接发起成功率。
黑洞可防护种类:
能够对SYN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各类DoS***进行防护。
可以有效防止连接耗尽,主动清除服务器上的残余连接,提高网络服务的品质;可以抑制网络蠕虫的扩散。
可以防护DNS Query Flood,保护DNS服务器正常运行。
可以给各种端口扫描软件反馈迷惑性信息,因此也可以对其它类型的***起到防护作用。
防护范围:
能够保护网络主机、路由器、防火墙等网络设备,以及整个子网。
简评:黑洞防火墙是专业的抗DDos防火墙,主要针对现在日益猖獗的分布式拒绝服务***,属于单方面防御效果较突出的产品。
·DOSNIPE防火墙
遐迩科技的DOSNIPE系列防火墙也是机房防火墙中比较出色的产品,抗DDos***功能也很强,现已推出DosNipe V8.0版本,此核心极其高效,可以抵御一切拒绝服务***。特别是针对CC***,最新更新的算法可以高效的抵御所有CC***及其变种,识别准确率为 100%,没有任何误判的可能性,成为国内第一款在硬件上彻底解决CC***的防火墙。
DOSNIPE防火墙还在此基础上实现了防火墙集群性防护的功能,并且在各大机房成功的应用。集群技术的实现将使防火墙产业进入低价高防的新时代。
DOSNIPE防火墙有多个型号,如DOSNIPE DS220、DOSNIPE DS400、DOSNIPE DS500、DOSNIPE DS800等,我们可以看看最新的DOSNIPE DS1200 抗DDOS防火墙:
型号 : DS1200
级别 : 千M骨干级
网络接口: 四个千M电口,四个光纤口
外设接口 :一个标准串口(RS232,DTE,9600-8-N-1)
吞吐量 : 2000M 最多可保证128字节包长下的线速连接
***防御量(64字节小包) 2000M
并发连接数 :无限制
延迟 : ≤10um
说明: 自主知识产权一次性单向非法数据包识别方法算法内核,独家单向一次性包过滤技术.
特性: 防止连接耗尽 即插即用,网络隐身,无IP地址 精简和优化的TCP协议,主机识别 ,***检测, Console和Web双重管理模式,大型企业的首选.
防御种类:
SYNFLOOD 及其变种
ACKFLOOD 及其变种
ICMPFLOOD及其变种
UDPFLOOD 及其变种
DRDOS 及其变种
LANDFLOOD及其变种
DNS QUERY FLOOD及其变种
Stream Flood 及其变种
IP Fragment attack
及部分未知DOS***CC防护等
简评:DosNipe防火墙也是抗DDos能力比较突出的专业防火墙,在IDC机房中有不少典型案例。
小结:
上面这几款防火墙就是目前IDC机房中比较常用的安全设备,不过很多时候只采用一款防火墙还难以做到万无一失,因此一些机房也推出了“双防火墙”甚至是 “三防火墙”方案,例如采用金盾+黑洞的配合,实现全方位的防护,因此,大家在选择IDC的时候不妨多看看他们网站上关于网络安全设备方面的介绍再进行比 较 ,相信对大家还是很有好处的。
软防用冰盾
硬件防火墙服务的情况:
http://www.it.com.cn/f/server/0611/1/343554.htm
大家如果查阅过我们的各地运营商资料和各地机房资料后可能会发现,大部分运营商和机房并不提供此项服务,提供机房网络硬件安全措施的大概只有不到2成,为什么呢?
我们知道,大部分的IDC机房都是电信和网通修建的,而电信部门多数情况下都不会自己去运营机房的大众端业务,因为比较繁琐,需要太多人力,于是电信部门 把机房业务交给各个IDC运营商和代理商去打理;而硬件防火墙售价都比较昂贵,考虑到不是每个运营商都愿意去负担这笔费用,因此电信网通以及铁通等所建设 的机房一般都是出售机柜和带宽,而是否为机房设备提供硬件防火墙,就取决于不同运营商和代理商对自身业务需要和经济能力的权衡。
当然也不是绝对,例如某个地区的电信分公司建好机房后同时还自己成立一个部门专门经营机房的常规IDC业务,那么这个机房就有可能采用硬件防火墙。
另外还有少量IDC运营商是自建机房的,那也很可能采用硬件防火墙。
因此,我们看到的提供硬件防火墙支持的服务商并不多,基本都是具备一定实力的非电信类运营商或一级代理商,另外还有一些代理商本身是不购置硬件防火墙的,但是他们通过代理这些运营商的业务,也能够为用户提供千兆硬防级服务。
提供硬件防火墙服务的运营商推荐:
IT世界IDC频道工作人员经过查阅对比,为广大读者推荐的10个提供硬件防火墙服务的运营商如下:
公司性质特色官方网站:西部数码(http://www.west263.com/)
公司名称:成都西维数码科技有限公司(川B2-20030065号)
公司地址:四川成都市万和路90号天象大厦4楼
联系电话:028-86262244 86263048类型:
重点运营商
评定:
★★★★★☆国内主要的虚机运营商之一
官方网站:太阳网(http://www.idc.hk/)
公司名称:太阳集团(粤ISP证B2-20040135)
信息产业部认定的“IDC+ISP+ICP+SP”四证合一的综合电信服务提供商
公司地址:深圳市福田保税区英达利科技数码园C座5楼
联系电话:800-830-6114 销售电话:755-8305.8999(50线)类型:
重点运营商
评定:
★★★★★☆香港域名注册金项奖
官方网站:靖康科技(http://www.3098.com/)
公司名称:广州市靖康计算机科技有限公司(粤 B2-20030107)
公司地址:广州市珠江新城华明路华普广场西塔1411(南方日报社对面)
联系电话:24小时服务热线:(020)88271083类型:
普通运营商
评定:
★★★★☆☆
官方网站:时代万维(http://www.timewww.com/)
四川服务器在线(http://www.server.sc.cn/)
天下万维(http://www.txwww.com/)
公司名称:成都思诺信息技术有限公司(川B2-20050162)
公司地址:成都市高朋大道3号东方希望大厦12层
联系电话:028-66299296 85196086类型:
普通运营商
评定:
★★★★☆☆DDOS虚机
官方网站:世博科技(http://www.ngncn.com/)
公司名称:四川世博科技开发有限公司(IDC业务代理证书编号:200505)
公司地址:成都市一环路南一段九号凯悦新城(学府影城对面)一区608室
联系电话:028-8544.1981 , 8544.1982类型:
普通运营商
评定:
★★★★☆☆四川铁通一级代理资格
官方网站:商务互联(http://www.35inter.com/)
公司名称:四川华西资讯网络科技有限公司(川B2-20050002)
公司地址:四川省成都市西安中路8-40号豪瑞新界A座3-1室
联系电话:028-86086035 87798735类型:
普通运营商
评定:
★★★★☆☆西昌电信机房唯一代理
官方网站:长春网通(http://idc.cc163.net/)
公司名称:吉林省通信公司长春市分公司
公司地址:吉林省长春市人民大街2599号
联系电话:0431-8927037类型:
网通运营商
评定:
★★★★☆☆官方网站:天府信息港(http://www.scidc.cn)
公司名称:成都赛亚科技有限公司
公司地址:成都市锦绣路34号棕北国际2-23-3
联系电话:028-85252220类型:
一级代理
评定:
★★★★☆☆官方网站:联网(http://www.linkwww.com/)
公司名称:成都指南针联网科技公司(川ICP证010017号)
公司地址:成都市人民南路四段1号数码广场8层B6室
联系电话:028-86316120 86316121类型:
一级代理
评定:
★★★★☆☆官方网站:重庆首页(http://www.gmidc.com/)
公司名称:重庆首页科技发展有限公司
公司地址:重庆市九龙坡区科园三街134号10-3室
联系电话:023-66004004类型:
上游代理商
评定:
★★★★☆☆电信金牌代理
运营商特色分析:
·西部数码(http://www.west263.com/) 是西南最大的服务器租用与服务器托管运营商,为超过2000家各类企事业单位用户提供服务器租用、托管、机柜租用等服务。同时提供电信、网通、多线三大机 房供客户选择。作为西南唯一一家真正可以提供真正24小时机房现场服务的运营商,西部数码保证365天 都会有工程师待命为用户服务(保证不间断提供QQ在线及电话支持服务)。
特别说明:连续租用服务器2年的客户,可在合同期满后获得 服务器所有权;按年付款的用户加1000元一年即送产权!可以选购傲盾、黑洞、冰盾、金盾抗DDOS***防火墙,让你的服务器在任何时候都稳定如 常!1000M黑洞硬防全新上市,已经升级至最新版,完全抵御DDOS、CC***及其变种!西部数码承诺免押金、免设置费、免费故障排除费。
·天府信息港(http://www.cmidc.com/)联手绿盟科技,共同构建的中国电信IDC机房安全网络区域。该公司采用DDOS克星——黑洞1000M级硬件防火墙,能够对SYN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各类DoS***进行防护。