服务器网络安全如何保障

　　当今时代，网络安全问题得到大家的关注，为了避免自己的利益受到损失，许多人都会保障自己网络的安全，那么，服务器的网络安全大家清楚吗?学习啦小编在这里给大家详细介绍。

　　服务器的网络安全中从头部署新的防火墙策略是一件复杂的事情，你要综合考虑许多方面。一般来说，防火墙有两种工作模式，称为路由模式和透明模式，在路由模式下，防火墙就象一个路由器，能进行数据包的路由。

　　不同的是，它能识别网络第四层协议(即传输层)的信息，因此它能基于TCP/UDP端口来进行过滤。在该模式下，防火墙本身要配备两个或多个网络地址，你的网络结构会被改变。在透明模式下，防火墙更象一个网桥，它不干涉网络结构，从拓扑中看来，它似乎是不存在的(因此称为透明)。但是，透明模式的防火墙同样具备数据包过滤的功能。透明模式的防火墙不具备IP地址。这两种模式的防火墙都提供网络访问控制功能，例如你可以在防火墙上设置，过滤掉来自因特网的对服务器的NFS端口的访问请求。

　　在网络中使用哪种工作模式的防火墙取决于你的网络环境。一般来说，如果你的服务器使用真实IP地址(该地址一般是IDC分配给你的)，会选择防火墙的透明模式。因为在该模式下，你的服务器看起来象直接面对互联网一样，所有对服务器的访问请求都直接到达服务器。当然，在数据包到达服务器之前会经过防火墙的检测，不符合规则的数据包会被丢弃掉(从服务器编程的角度看，它不会觉察到数据包实际已被处理过)。

　　实际上为了安全起见，很多服务器都采用私有IP地址(例如172.16.0.0/16和192.168.0.0/24都属于私有IP地址)，如果这些服务器不必对外提供服务，那么就最安全不过了，如果要对外提供服务，就有必要通过防火墙的NAT(网络地址转换)来满足来自因特网的访问要求。NAT是防火墙的一项功能，它实际上工作在路由模式下。

　　大多数防火墙都会区分所谓的正向NAT和反向NAT，所谓正向NAT就是指从内网出去的数据包，在经过防火墙后，包头会被改写，源IP被改写成防火墙上绑定的IP地址(或地址池，肯定是公网真实IP)，源端口也会有所改变，回来的数据包经过同样处理，这样就保证内网具有私有IP的主机能够与因特网进行通信。在反向NAT的实现中，会将服务器的公网IP绑定在出口处的防火墙上，服务器只会使用一个私有IP，防火墙会在它的公网IP和这个私有IP之间建立一个映射，当外网对这台服务器的请求到达防火墙时，防火墙会把它转发给该服务器。当然，在转发之前，会先匹配防火墙规则集，不符合规则的数据包将被丢弃。

　　使用反向NAT，会大大提高服务器的安全性。因为任何用户的访问都不是直接面对服务器，而是先要经过防火墙才被转交。而且，服务器使用私有IP地址，这总比使用真实地址要安全。在抗拒绝服务攻击上，这种方式的成效更显然。但是，相对于透明模式的防火墙，采用反向NAT方式的防火墙会影响网络速度。如果你的站点访问流量超大，那么就不要使用该种方式。值得一提的是，CISCO的PIX在NAT的处理上性能异常卓越。