数据中心如何合理构建防火墙实现数据防护？

如何合理构建数据中心的防火墙，实现数据保护？

大型数据中心配备高防服务器供用户选择，保护用户的数据不易被盗，同时避免DDoS/CC在流量攻击的影响下，数据中心如何建立防火墙安全策略？

在大多数攻击事件中，防火墙本身的漏洞很少有问题。黑客通常不会进行硬攻击，而是通过扫描漏洞，通过端口和服务器漏洞进入。因为任何明智的管理员都会配备防火墙来放弃连接防火墙的尝试。

例如，即使在用户的防火墙上有一个已知的SSH漏洞，这种威胁只能来自防火墙指定的良好保护管理站，更不用说关闭了。事实上，防火墙最大的问题是其维护薄弱、策略差、网络设计差。在与防火墙相关的安全事件中，人为因素造成的损坏约占99%。更糟糕的是，如果你经营多个制造商的防火墙，它的成本将迫使用户放弃一些需要特别注意的问题。用户最好在强化平台上花费有限的资源，而不是全面攻击。

防火墙设计的目的是什么？

防火墙作为内外网络之间的网络安全系统，经常被用来过滤安全和危险数据。防火墙并非完全安全。通过良好的防火墙策略和网络设计，可以最大限度地预防以下攻击：

一个好的防火墙策略和网络设计应该能够减少，而不是根除以下安全风险：

1.来自互联网的攻击DMZ服务的攻击.

2.攻击互联网的互联网的任何部分.

3.攻击企业用户或服务器DMZ服务器.

4.DMZ服务器攻击用户、服务器或伤害自己.

5.合伙人和外延网(extranet)的威胁.

6.来自通过WAN远程部门连接的威胁.

第一点很明显，就是限制通过互联网试图访问DMZ服务器的服务端口大大降低了它们被征服的机会。例如，在一个SMTP在邮件服务器上，互联联通信只能通过25号TCP端口。所以，如果这个SMTP服务器在服务器服务或程序中碰巧有漏洞，不会暴露在互联网上。蠕虫和黑客总是关心80号端口的漏洞。

最难处理的是内部威胁。大多数昂贵的防火墙不能使用传统的设计来防止网络免受内部攻击者的伤害。例如，可以想象一个恶意用户在家里或其他地方将感染恶意代码的笔记本电脑挂在互联网上的后果。良好的网络设计和防火墙策略应得到保护DMZ就像防御来自互联网的风险一样，服务器使其免受服务器和用户的风险。

还有另一个方面DMZ服务器暴露在公共互联网上，可能会被黑客或蠕虫破坏。管理员采取措施限制DMZ服务器对内部服务器或用户工作站的威胁至关重要。此外，还可以预防一套稳定的防火墙策略DMZ服务器进一步损坏了自己。如果黑客通过一些已知或未知的漏洞破坏了服务器，他们做的第一件事就是下载服务器rootkit。

借助超越传统防火墙的附加功能，企业防火墙可以提供简单集中的广域网和延伸网络安全管理，进一步减少延伸网络合作伙伴和远程办公部门WAN威胁。连接这些网络的路由器采用帧中继、VPN隧道、租用私人线路等，以确保这些路由器也可以通过防火墙来确保其安全。利用每个路由器上的防火墙特性来实现安全过于昂贵，不仅导致硬件成本高，而且难以设置和管理。

关键是防火墙可以根据逻辑组织和功能目的限制不同网络区域的通信。但防火墙不能限制和保护主机免受同一子网络中其他主机的威胁，因为数据永远不会通过防火墙检查。

这就是为什么防火墙支撑的区域越多，在设计科学的企业网络中就越有用。由于一些主要制造商支持接口的聚集，区域划分要简单得多。单个千兆比特端口可以很容易地支持多个区域，并且比几个快速以太网端口执行得更快。