Word服務器專用的軟件防火墻(一勞永逸)

服務器專用的軟件防火墻(一勞永逸)

近日有網友發來郵件詢問在服務器系統上面運行什么樣的防火墻軟件效果比較好，之前論壇上也有關于哪些防火墻適合服務器使用的網友討論，今天，我們根據已經掌握的資料，為大家介紹一下目前比較適合服務器使用的防火墻軟件。

首先要說明的是，服務器一般會有兩種使用方式，一種是托管的服務器，或者是在IDC租用的服務器，此時需要的是單機防火墻；另外一種是公司學校的局域網服務器，這種一般是作為網絡出口的橋頭堡，保護整個局域網的安全，這時要使用專門的網關防火墻。

另外，不同的操作系統使用的防火墻肯定也是相去甚遠的，目前主流的操作系統當然就是WINDOWS和Linux，下面我們按照兩類操作系統對幾款比較值得推薦的防火墻軟件進行介紹：

WINDOWS系統

服務器單機防火墻

目前流行的WINDOWS單機防火墻有很多，如sygatepersonalfirewallpro、blackiceserveredition、zonealarm、nortonpersonalfirewall、PandaPlatinumInternetSecurity、NetPatrol、TinyFirewallPro、AgnitumOutpostFirewallPro、McAfeePersonalFirewall、kerioserverfirewall、keriopersonalfirewall等等。

sygatepersonalfirewallpro、netpatrol和TinyFirewallPro由于功能過于強大，在使用的時候必須先在服務器上進行合理的預配置，否則用戶可能會無法通過網絡來訪問你的服務器；PandaPlatinumInternetSecurity、McAfeePersonalFirewall和nortonpersonalfirewall中，norton是最差勁的，不過它們都屬于比較龐大的防火墻，耗費的系統資源較大，不推薦；keriopersonalfirewall、zonealarm和AgnitumOutpostFirewallPro都更適合個人使用，做服務器防火墻不好；kerioserverfirewall是基于B/S來控制的，這點或許有它的好處，但是使用起來感覺不如其他的方便。剩下就是blackiceserveredition了，它算設計比較優秀的防火墻軟件，不過有個不足就是應用層過濾都相對比較簡單，和一般的包過濾沒有多少區別（其他的防火墻功能都差不多，都不夠強大，除了sygatepersonalfirewallpro、netpatrol和TinyFirewallPro）。

國內也有一些開發商推出了專門的服務器防火墻軟件，雖然不少是由家庭版、個人版升級改裝而來，例如大名鼎鼎的天網實驗室開發的天網防火墻服務器版，不過由于其個人版使用的過濾監控機制本身就比較優秀而且易使用，所以適當改裝之后也還是很適合服務器單機應用，最主要的當然還是這些軟件采用中文界面，對一些英文不是很強的管理人員來說使用起來還是更親切一些。

從使用者的角度出發，下面幾款單機版防火墻比較適合于擁有IDC服務器的用戶：

BlackICEServerProtection

功能簡介：

BlackICEServerProtection是ISS安全公司出品的一款著名的入侵檢測系統，擁有強大的檢測，分析以及防護功能，而且很容易使用，可以偵察出誰在掃你的端口，在它們進攻我們的電腦之前攔截，保護我們的電腦不受欺害，可以收集入欺者的IP地址、計算機名-網絡系統地址、硬件地址-MAC地址，有日志供我們查看！作為服務器網絡防火墻來說，絕對是你的首選！

BlackICE軟件曾經獲得PCMagazine的技術卓越大獎，專家對它的評語是：“對于沒有防火墻的家庭用戶來說，BlackICE是一道不可缺少的防線；而對于企業網絡，它又增加了一層保護措施--它并不是要取代防火墻，而是阻止企圖穿過防火墻的入侵者。BlackICE集成有非常強大的檢測和分析引擎，可以識別200多種入侵技巧，給你全面的網絡檢測以及系統防護，它還能即時監測網絡端口和協議，攔截所有可疑的網絡入侵，無論黑客如何費盡心機也無法危害到你的系統。而且它還可以將查明那些試圖入侵的黑客的NetBIOS(WINS)名、DNS名或是他目前所使用的IP地址記錄下來，以便你采取進一步行動。封言用過后感覺，該軟件的靈敏度和準確率非常高，穩定性也相當出色，系統資源占用率極少，是每一位上網朋友的最佳選擇。

新增功能：

1.在設置中增加了應用程序與通信控制的功能條

2.可控制應用程序是否在電腦上執行

3.可控制哪些應用程序能與Internet通訊

4.掃描你的系統，檢測所有的系統設置改變

5.可在事件列表中記錄新軟件與新通訊事件的發生情況

6.可以有效預防DDos攻擊，私服和服務器的首選軟件防火墻

CyberwallPLUS-SV

功能簡介：

CyberwallPLUS是美國網屹公司（網屹公司的產品主要定位于企業網內部網絡的安全防范）開發的一套先進的包過濾防火墻產品系列。它具有分布式、主機駐留的體系機構，代表著新一代防火墻的技術潮流。它可以在網絡邊界、網絡內部、服務器和客戶端等任何網絡結合處設置屏障，同時監測多種網絡通信協議，并可實現集中管理，從而形成了一個多層次、多措施、內外統一防范的立體安全體系。

CyberwallPlus系列防火墻包括CyberwallPlus主機防火墻、CyberwallPlus-AP保護內部網絡防火墻、CyberwallPlus-IP包過濾防火墻三種產品，其中CyberwallPlus又包含CyberwallPlus-WS工作站防火墻和CyberwallPlus-SV服務器防火墻兩個類別。CyberwallPLUS-SV是世界上用于WindowsNT/2000服務器最優秀的防火墻，對于在“electronicallyopen”組織中管理WindowsNT/2000服務器的管理員來說是必不可少的工具，幫助用戶的信息服務器和應用服務器抵御網絡的攻擊和入侵。

網屹的CyberwallPLUS-SV主機入侵防護系統從兩方面來防止攻擊。它應用特定規則增強服務器的安全，進行全面的集中管理。雙向的過濾對服務器提供了雙重保護，使它不能成為特洛伊木馬和其它隱藏代碼攻擊的發射臺。該產品也是一種包過濾防火墻，提供了靈活、細致的網絡訪問控制，管理員可以精確地定義哪些網絡協議和地址被允許進入系統。這些控制將系統從未授權訪問和入侵企圖中保護和隱藏起來，還可以阻止未授權的從系統出去的流量。一旦包通過防火墻，它將通過狀態檢測引擎的嚴格檢查。CyberwallPLUS查看網絡層、傳輸層和應用層協議，結合這三層協議的規范來校驗包的結構。CyberwallPLUS使用包過濾引擎實現狀態包檢測，而不是利用入侵檢測來實現，它在每一個通訊會話的處理中動態的打開或關閉端口。這就避免了為某些協議如MS-RPC需要開放大量的端口的情況，可以實現更為嚴格的安全。

功能列表：

CyberwallPLUS具有WindowsNT欠缺的安全保障，向系統管理員提供了保障系統安全必不可少的網絡訪問控制和入侵防護功能。

CyberwallPLUS引入了一系列獨立的WindowsNT欠缺的網絡安全功能，包括：

網絡訪問控制

狀態包檢測

基于時間的入侵檢測和防護

基于時間的安全策略

入侵報警

流量審核日志

實時流量監測

違反策略的事件日志

集中式的管理

KFW傲盾防火墻服務器版

功能簡介：

KFW傲盾防火墻網站防護版是一款針對各種網站，信息平臺，Internet服務等，集成多種功能模塊的安全平臺。

本軟件是具有完全知識版權的防火墻，使用了目前最先進的第三代防火墻技術《DataStreamFingerprintInspection》數據流指紋檢測技術，與企業級防火墻CheckPoint和Cisco相同，能夠檢測網絡協議中所有層的狀態，有效阻止DoS，DDoS等各種攻擊，保護您的服務器免受來自Internet上的黑客和入侵者的攻擊，破壞.通過最先進的企業級防火墻的技術，提供各種企業級功能，功能強大，齊全，價格低廉，是目前世界上性能價格比最高的網絡防火墻產品。

功能列表：

1.數據包規則過濾

2.數據流指紋檢測過濾

3.數據包內容定制過濾

4.網關路由支持

5.NAT功能(支持FTPPASV和port，支持irc的ddc等動態端口模式，安裝防火墻后不用設置PASV之類的端口)

6.端口映射功能

7.流量控制

8.采用最先進的數據流指紋技術，提供強大的DOS(拒絕服務)攻擊防護，徹底防護各種已知和未知的DOS攻擊.

9.流量分析監測

10.實時訪問連接監控

11.支持dmz區的建立

12.賬號，權限管理

13.分布式管理

技術優勢和特點：

KFW傲盾防火墻系統是一套全面，創新，高安全性，高性能的網絡安全系統.它根據系統管理者設定的安全規則(SecurityRules)把守企業網絡，提供強大的訪問控制，狀態檢測，網絡地址轉換(NetworkAddressTranslation)，信息過濾，流量控制等功能.提供完善的安全性設置，通過高性能的網絡核心進行訪問控制。

服務器網關防火墻

如果是上面說的第二種情況，用服務器來做網關的話，就需要一款功能強大而且能夠對整個局域網實施保護的專業防火墻軟件，這類軟件并不多，微軟的ISAServer2021算是非常出色的一款代表產品：

ISAServer2021

功能簡介：

繼ISAServer2000之后，微軟發布了最新的ISAServer2021，不管是相對于它的前身ISAServer2000，還是相對其他防火墻或代理服務器產品，ISAServer2021都是一個值得贊譽的產品，現在，微軟不僅僅以軟件的形式提供ISAServer2021，而且有了以硬件形式出現的第三方產品，比如HPProLiantDL320。

當今的網絡安全已成為必須重視的一個問題，微軟的ISA2021在用于小型單位或個人構建安全高效的網站時很方便適用（針對有獨立的服務器而言）。ISA2021比ISA2000的功能上改進了很多，ISA2021引入了多網絡支持、易于使用且高度集成化的虛擬專用網絡配置、已擴展且可擴展的用戶和身份驗證模型以及改進的管理功能。ISA2021提供了幾種適用的網絡部署方案可以很方便的解決許多網絡部署問題，我們強烈推薦ISA2021，在網關上安裝之后，局域網的其他電腦就不需要安裝其他防火墻了，非常好用。

新增功能：

1.多網絡

多網絡配置：可以配置一個或多個網絡，并使每個網絡都與其他網絡具有明確的關系。

獨特的每個網絡策略：使用ISA服務器新增的多網絡功能，可以通過限制客戶端（甚至組織內部的客戶端）之間的通訊來防止網絡受到內部和外部的安全威脅。

路由和NAT網絡關系：可以使用ISA服務器并根據所需要的訪問和通訊來定義網絡之間的路由關系。

2.安全和防火墻策略

支持需要多個主連接的復雜協議：包括許多流媒體、語音應用程序和視頻應用程序所需要的協議。

自定義的協議定義：可以控制為創建防火墻策略規則的任何協議而使用的源端口號和目標端口號。

身份驗證：可以使用內置的Windows、RADIUS、RSASecurID身份驗證或其他名稱空