如何为服务器应用发布选择防火墙网关？

如何选择防火墙网关发布服务器应用？UTM防火墙（UTMWALL）？下一代防火墙（NGFW）？还是下一代防火墙？本文列出了服务器减少高连续性渗透攻击的8个关键功能（APT）最佳的风险解决方案，也是公安部最新发布的第二代防火墙标准的具体解释，请参考。

一、基于策略NAT规则（DNAT）以及管理请求的访问控制（ACL）

用于各种来源IP、目的IP、例外IP、提供不同的端口转发策略，方便服务器的管理和部署，方便内网用户通过公网IP或者域名访问架设在自己内网的服务器；提供虚拟IP（VIP）对多个公网实现功能IP充分利用资源；为移动管理员用户、分支机构和合作伙伴提供精细服务ACL控制策略，预防FTP、SSH、远程桌面和其他内部应用程序被非法和越权访问，以避免扫描或暴力破解。

二、WAN口多链接接入（M-WAN）

用于不同的电信、联通、教育网等ISP不同的网络用户提供本地化访问ISP根据接入线路返回服务器数据包，可以优化网络速度，提高服务质量。

三、服务器负载平衡（SLB）及反向代理（R-Proxy）

平均分配网络请求流量DMZ区内2台以上服务器，负责服务器健康检查，可提高服务器响应速度，保证24小时在线率，保证网站可扩展性，提高服务质量；对于几个独立的内部网络WEB服务器共用公网IP反向代理功能可以打开连接。

四、WEB防火墙（WAF）或者入侵检测和防御（IDP）

实时拦截黑客通过SQL注入、XSS扫描和入侵服务器，防止黑客扫描和管理背景网站和备份文件，防止黑客上传和使用WEBSHELL后门程序，或通过白名单100%保障政府、公司等展示网站的安全；IDC可供服务商使用WAF，未在中国备案的域名被白名单屏蔽，既符合通信局法律法规，又节约了管理成本。

五、抗SYN洪水、CC攻击

阻止黑客发送SYN洪水、CC攻击包攻击服务器，合理分配每个用户的可用资源，防止服务器资源耗尽，消除有害流量，保证服务器的连接率。

六、异常流量检测

各种连续流量(扫描、攻击、WEBSHELL、直接连接数据库服务器、上传流量(黑页、挂马)、超大流量(拖库)和DDOS并且可以提供流量Netflow数据流，方便集中存储及管理，可以保证服务器的接通率，快速排除故障隐患。

七、内网行为控制

记录内网服务器，PC上网行为，防止内网ARP病毒攻击，防止黑客留下的木马和后门程序，防止未经授权的内部员工FTP上传等破坏服务器原始内容的行为，可以轻松查找内网的入侵行为，保证服务器的完整性；打开POP3.电子邮件过滤功能，屏蔽危险或所有附件，防止木马攻击。

本地日志存储至少60天

记录用户在防火墙内发出的信息WEBURL、POST等待请求信息，上级ISP防火墙本身性检测结果及防火墙本身CPU、24小时运行趋势图，如内存、网络吞吐量、等24小时运行趋势图，防止黑客删除服务器日志和服务器硬件故障造成的日志丢失，为单位和公安局未来查找互联网记录提供可靠的日志黑匣子服务。

微云网络提供美国高防服务器、香港高防服务器、韩国高防服务器、佛山高防服务器等；高防机房可以很好地解决各种问题CC、流量等DDOS另外，攻击DDOS高防IP护送您的业务。详细询问在线客服！