如何从服务器网络安全中保护网络基础知识

在当今时代，网络安全问题已经引起了人们的关注。为了避免利益的损失，很多人都会保护自己的网络安全。你清楚服务器的网络安全吗萧边在这里为你详细介绍。
在服务器的网络安全中从头部署一个新的防火墙策略是一件复杂的事情，您必须考虑很多方面。一般来说，防火墙有两种工作模式，称为路由模式和透明模式。在路由模式中，防火墙就像一个路由器，可以进行数据包路由。
不同的是，它可以识别网络第四层协议的信息（即传输层），所以它可以过滤基于TCP / UDP端口。在这种模式下，防火墙本身配备两个或两个以上的网络地址和网络结构将发生变化。在透明的模式，防火墙更像是一座桥，这并不妨碍网络结构。它似乎也不存在从拓扑结构，因此它被称为透明。然而，透明模式防火墙还具有包过滤功能，透明模式防火墙没有IP地址。这两种防火墙为用户提供网络访问控制功能，你可以设置防火墙从互联网渗透到服务器的NFS端口的访问请求。
什么样的工作模式的防火墙是在网络中使用取决于您的网络环境。一般来说，如果你的服务器使用真实IP地址（地址通常是由IDC分配给你的），防火墙的透明模式的选择。因为在这种模式下，您的服务器看起来像互联网直接上网，和所有的访问请求到服务器直接到服务器。当然，数据包到达服务器之前，它会通过防火墙的检测，并对不符合规则的数据包将被丢弃（从服务器编程，看它不知道包已经被处理）。
事实上，出于安全原因，许多服务器都使用私有IP地址（例如，属于两172.16.0.0 / 16和192.168.0.0 / 24的私有IP地址），如果服务没有服务器，那么安全，但是，如果你想提供服务，有必要通过防火墙的NAT（网络地址转换）来满足从互联网接入requirements.nat是防火墙的功能，这在路由模式实际上。
大多数防火墙将区分正向和反向NAT NAT之间，所谓的NAT正意味着来自网络的数据包，在防火墙之后，包头将被改写，源IP被改编成防火墙的IP地址绑定（或地址池，肯定是真实的公网IP），源端口也将改变回来，通过相同的数据包进行处理，从而保证私有IP网络主机可以与Internet进行通信。在反向NAT的实现，将绑定公网IP服务器在防火墙退出，服务器将只使用一个私有IP，防火墙将建立与公共IP私有IP之间的映射，当服务器上的请求的网络到达防火墙，防火当然，在转发之前，首先要匹配防火墙规则集，而不符合规则的数据包将被丢弃。
反向NAT的使用将大大提高服务器的安全性。因为任何用户的访问是不直接面向服务器，它是第一个通过防火墙被转移。此外，服务器使用私有IP地址，它总是比使用真实地址的安全。这种方法的有效性抗拒绝服务攻击更为明显。不过，相比于透明模式防火墙，使用反向NAT模式的防火墙会影响网络速度。如果你的网站访问量过大，不使用它。值得一提的是，思科PIX具有优良的NAT处理性能。
另一个例子是服务器使用了一个真正的IP地址，而防火墙配置为路由模式而不使用NAT功能，这是可以实现的，但它会使您的网络结构非常复杂，而且似乎不带来好处。
大多数的IDC机房不提供防火墙服务，你需要购买和配置自己的防火墙。你完全可以在透明或NAT模式配置，以及它是如何取决于你的实际情况。有些IDC公司提供防火墙服务作为一种手段来吸引顾客。一般来说，他们的防火墙服务被起诉。
如果你的服务器在IDC提供的公共防火墙，要仔细考虑你的网络结构。如果你使用IDC提供防火墙的透明模式，那是你的服务器全部使用真实的IP地址，在这种情况下，除非你的服务器的数量足够的（我们已经在北京超过500，台湾）然后你必须有逻辑网络公司主机存在。
这样，虽然有防火墙，你的系统管理任务也不会太容易，因为你受到其他公司的主机在同一段。例如，你的服务器的IP地址是211.139.130.0 / 24，你用这几个地址，所以在这段将有超过200其他公司的主机，在他们与你的主机防火墙，虽然有些防火墙可以屏蔽来自互联网的访问，但相互访问这些主机之间没有任何保护措施。因此，其他公司可以通过主机的攻击你。
或者，如果网络中的主机被黑客入侵，所有的服务器都面临严重的威胁。在这样一个网络，你别跑危险的服务如NFS，sendmail，并绑定。
解决这个问题的方法是购买防火墙本身，并配置透明模式，而不使用公共防火墙的透明模式。
一些IDC公司会为你提供NAT防火墙。您需要在服务器上设置私有IP地址，然后通过防火墙对服务器进行地址转换，这与前面提到的情况相同，也就是说，服务器所在的逻辑段中还有其他公司的主机。
例如，在172.16.16.0 / 24，这个网段可容纳254台主机，和你的服务器使用多个IP。然后可能有超过200家公司的主机和服务器在同一网段内，这样虽然对外部有防火墙保护，但它不能阻止内部网络的攻击。
为了解决这个问题，你不必给自己买一个防火墙。因为私有IP可以分配任意的，你可以把一个网络段从IDC，如172.16.19.0 / 24段，把你的服务器在网络这一段，并没有其他公司的主机，这样，你的网无懈可击。
事实上，如果你有一个大的UNIX主机的网络，让每个主机在防火墙上打开登陆端口是不必要的。你可以专门设置一个或两个主机作为一个登陆入口，并访问其他主机必须作为一个跳板，牺牲了使用的方便性，但它带来了更多的安全。当然，前提是你必须管理进入主机。
这个应用程序有一个电子令牌卡，它每次都是一张便携式卡（时间通常很小，几分钟或几十秒）动态生成一个密码，你只使用这个密码登录主机的密码，很快就会失败。
不仅是UNIX主机，而且Windows主机的终端管理也可以作为跳板，但是Windows的终端比UNIX的shell更麻烦，如果您不想牺牲太多的方便，请不要这样做。
网络安全是服务器安全的重要组成部分。我希望你已经掌握了以上内容。另外，希望您更多地关注防火墙知识，更好地了解服务器网络安全。