服務(wù)器專用的軟件防火墻(一勞永逸)

近日有網(wǎng)友發(fā)來郵件詢問在服務(wù)器系統(tǒng)上面運(yùn)行什么樣的防火墻軟件效果比較好，之前論壇上也有關(guān)于哪些防火墻適合服務(wù)器使用的網(wǎng)友討論，今天，我們根據(jù)已經(jīng)掌握的資料，為大家介紹一下目前比較適合服務(wù)器使用的防火墻軟件。

??? 首先要說明的是，服務(wù)器一般會有兩種使用方式，一種是托管的服務(wù)器，或者是在IDC租用的服務(wù)器，此時(shí)需要的是單機(jī)防火墻；另外一種是公司學(xué)校的局域網(wǎng)服務(wù)器，這種一般是作為網(wǎng)絡(luò)出口的橋頭堡，保護(hù)整個(gè)局域網(wǎng)的安全，這時(shí)要使用專門的網(wǎng)關(guān)防火墻。

??? 另外，不同的操作系統(tǒng)使用的防火墻肯定也是相去甚遠(yuǎn)的，目前主流的操作系統(tǒng)當(dāng)然就是WINDOWS和Linux，下面我們按照兩類操作系統(tǒng)對幾款比較值得推薦的防火墻軟件進(jìn)行介紹：

服務(wù)器單機(jī)防火墻

??? 目前流行的WINDOWS單機(jī)防火墻有很多，如sygate personal firewall pro、blackice server edition、zone alarm、norton personal firewall、Panda Platinum Internet Security、NetPatrol、Tiny Firewall Pro、Agnitum Outpost Firewall Pro、McAfee Personal Firewall、kerio server firewall、kerio personal firewall等等。

??? sygate personal firewall pro、netpatrol和Tiny Firewall Pro由于功能過于強(qiáng)大，在使用的時(shí)候必須先在服務(wù)器上進(jìn)行合理的預(yù)配置，否則用戶可能會無法通過網(wǎng)絡(luò)來訪問你的服務(wù)器；Panda Platinum Internet Security、McAfee Personal Firewall和norton personal firewall中，norton是最差勁的，不過它們都屬于比較龐大的防火墻，耗費(fèi)的系統(tǒng)資源較大，不推薦；kerio personal firewall、zone alarm和Agnitum Outpost Firewall Pro都更適合個(gè)人使用，做服務(wù)器防火墻不好；kerio server firewall是基于B/S來控制的，這點(diǎn)或許有它的好處，但是使用起來感覺不如其他的方便。剩下就是blackice server edition了，它算設(shè)計(jì)比較優(yōu)秀的防火墻軟件，不過有個(gè)不足就是應(yīng)用層過濾都相對比較簡單，和一般的包過濾沒有多少區(qū)別（其他的防火墻功能都差不多，都不夠強(qiáng)大，除了sygate personal firewall pro、netpatrol和Tiny Firewall Pro）。

??? 國內(nèi)也有一些開發(fā)商推出了專門的服務(wù)器防火墻軟件，雖然不少是由家庭版、個(gè)人版升級改裝而來，例如大名鼎鼎的天網(wǎng)實(shí)驗(yàn)室開發(fā)的天網(wǎng)防火墻服務(wù)器版，不過由于其個(gè)人版使用的過濾監(jiān)控機(jī)制本身就比較優(yōu)秀而且易使用，所以適當(dāng)改裝之后也還是很適合服務(wù)器單機(jī)應(yīng)用，最主要的當(dāng)然還是這些軟件采用中文界面，對一些英文不是很強(qiáng)的管理人員來說使用起來還是更親切一些。

??? 從使用者的角度出發(fā)，下面幾款單機(jī)版防火墻比較適合于擁有IDC服務(wù)器的用戶：

BlackICE Server Protection

功能簡介：

??? BlackICE Server Protection 是 ISS 安全公司出品的一款著名的入侵檢測系統(tǒng)，擁有強(qiáng)大的檢測，分析以及防護(hù)功能，而且很容易使用，可以偵察出誰在掃你的端口，在它們進(jìn)攻我們的電腦之前攔截，保護(hù)我們的電腦不受欺害，可以收集入欺者的IP地址、計(jì)算機(jī)名-網(wǎng)絡(luò)系統(tǒng)地址、硬件地址-MAC地址，有日志供我們查看！作為服務(wù)器網(wǎng)絡(luò)防火墻來說，絕對是你的首選！

??? BlackICE 軟件曾經(jīng)獲得PC Magazine 的技術(shù)卓越大獎(jiǎng)，專家對它的評語是：“對于沒有防火墻的家庭用戶來說，BlackICE是一道不可缺少的防線；而對于企業(yè)網(wǎng)絡(luò)，它又增加了一層保護(hù)措施--它并不是要取代防火墻，而是阻止企圖穿過防火墻的入侵者。BlackICE集成有非常強(qiáng)大的檢測和分析引擎，可以識別200 多種入侵技巧，給你全面的網(wǎng)絡(luò)檢測以及系統(tǒng)防護(hù)，它還能即時(shí)監(jiān)測網(wǎng)絡(luò)端口和協(xié)議，攔截所有可疑的網(wǎng)絡(luò)入侵，無論黑客如何費(fèi)盡心機(jī)也無法危害到你的系統(tǒng)。而且它還可以將查明那些試圖入侵的黑客的NetBIOS(WINS)名、DNS名或是他目前所使用的IP地址記錄下來，以便你采取進(jìn)一步行動。封言用過后感覺，該軟件的靈敏度和準(zhǔn)確率非常高，穩(wěn)定性也相當(dāng)出色，系統(tǒng)資源占用率極少，是每一位上網(wǎng)朋友的最佳選擇。

新增功能：

1. 在設(shè)置中增加了應(yīng)用程序與通信控制的功能條
2. 可控制應(yīng)用程序是否在電腦上執(zhí)行
3. 可控制哪些應(yīng)用程序能與Internet通訊
4. 掃描你的系統(tǒng)，檢測所有的系統(tǒng)設(shè)置改變
5. 可在事件列表中記錄新軟件與新通訊事件的發(fā)生情況
6. 可以有效預(yù)防DDos攻擊，私服和服務(wù)器的首選軟件防火墻

Cyberwall PLUS-SV

功能簡介：

??? Cyberwall PLUS是美國網(wǎng)屹公司（網(wǎng)屹公司的產(chǎn)品主要定位于企業(yè)網(wǎng)內(nèi)部網(wǎng)絡(luò)的安全防范）開發(fā)的一套先進(jìn)的包過濾防火墻產(chǎn)品系列。它具有分布式、主機(jī)駐留的體系機(jī)構(gòu)，代表著新一代防火墻的技術(shù)潮流。它可以在網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)內(nèi)部、服務(wù)器和客戶端等任何網(wǎng)絡(luò)結(jié)合處設(shè)置屏障，同時(shí)監(jiān)測多種網(wǎng)絡(luò)通信協(xié)議，并可實(shí)現(xiàn)集中管理，從而形成了一個(gè)多層次、多措施、內(nèi)外統(tǒng)一防范的立體安全體系。

??? CyberwallPlus系列防火墻包括CyberwallPlus主機(jī)防火墻、CyberwallPlus-AP保護(hù)內(nèi)部網(wǎng)絡(luò)防火墻、CyberwallPlus-IP包過濾防火墻三種產(chǎn)品，其中CyberwallPlus又包含CyberwallPlus-WS工作站防火墻和CyberwallPlus-SV服務(wù)器防火墻兩個(gè)類別。Cyberwall PLUS-SV是世界上用于Windows NT/2000服務(wù)器最優(yōu)秀的防火墻，對于在“electronically open”組織中管理Windows NT/2000服務(wù)器的管理員來說是必不可少的工具，幫助用戶的信息服務(wù)器和應(yīng)用服務(wù)器抵御網(wǎng)絡(luò)的攻擊和入侵。

??? 網(wǎng)屹的CyberwallPLUS-SV主機(jī)入侵防護(hù)系統(tǒng)從兩方面來防止攻擊。它應(yīng)用特定規(guī)則增強(qiáng)服務(wù)器的安全，進(jìn)行全面的集中管理。雙向的過濾對服務(wù)器提供了雙重保護(hù)，使它不能成為特洛伊木馬和其它隱藏代碼攻擊的發(fā)射臺。該產(chǎn)品也是一種包過濾防火墻，提供了靈活、細(xì)致的網(wǎng)絡(luò)訪問控制，管理員可以精確地定義哪些網(wǎng)絡(luò)協(xié)議和地址被允許進(jìn)入系統(tǒng)。這些控制將系統(tǒng)從未授權(quán)訪問和入侵企圖中保護(hù)和隱藏起來，還可以阻止未授權(quán)的從系統(tǒng)出去的流量。一旦包通過防火墻，它將通過狀態(tài)檢測引擎的嚴(yán)格檢查。CyberwallPLUS查看網(wǎng)絡(luò)層、傳輸層和應(yīng)用層協(xié)議，結(jié)合這三層協(xié)議的規(guī)范來校驗(yàn)包的結(jié)構(gòu)。CyberwallPLUS使用包過濾引擎實(shí)現(xiàn)狀態(tài)包檢測，而不是利用入侵檢測來實(shí)現(xiàn)，它在每一個(gè)通訊會話的處理中動態(tài)的打開或關(guān)閉端口。這就避免了為某些協(xié)議如MS-RPC需要開放大量的端口的情況，可以實(shí)現(xiàn)更為嚴(yán)格的安全。

功能列表：

CyberwallPLUS具有Windows NT欠缺的安全保障，向系統(tǒng)管理員提供了保障系統(tǒng)安全必不可少的網(wǎng)絡(luò)訪問控制和入侵防護(hù)功能。
CyberwallPLUS引入了一系列獨(dú)立的Windows NT 欠缺的網(wǎng)絡(luò)安全功能，包括：
網(wǎng)絡(luò)訪問控制
狀態(tài)包檢測
基于時(shí)間的入侵檢測和防護(hù)
基于時(shí)間的安全策略
入侵報(bào)警
流量審核日志
實(shí)時(shí)流量監(jiān)測
違反策略的事件日志
集中式的管理

KFW傲盾防火墻服務(wù)器版

功能簡介：

??? KFW傲盾防火墻網(wǎng)站防護(hù)版是一款針對各種網(wǎng)站，信息平臺，Internet服務(wù)等，集成多種功能模塊的安全平臺。

??? 本軟件是具有完全知識版權(quán)的防火墻，使用了目前最先進(jìn)的第三代防火墻技術(shù)《DataStream Fingerprint Inspection》數(shù)據(jù)流指紋檢測技術(shù)，與企業(yè)級防火墻Check Point和Cisco相同，能夠檢測網(wǎng)絡(luò)協(xié)議中所有層的狀態(tài)，有效阻止DoS，DDoS等各種攻擊，保護(hù)您的服務(wù)器免受來自Internet上的黑客和入侵者的攻擊，破壞.通過最先進(jìn)的企業(yè)級防火墻的技術(shù)，提供各種企業(yè)級功能，功能強(qiáng)大，齊全，價(jià)格低廉，是目前世界上性能價(jià)格比最高的網(wǎng)絡(luò)防火墻產(chǎn)品。

功能列表：

1. 數(shù)據(jù)包規(guī)則過濾
2. 數(shù)據(jù)流指紋檢測過濾
3. 數(shù)據(jù)包內(nèi)容定制過濾
4. 網(wǎng)關(guān)路由支持
5. NAT功能(支持FTP PASV 和port，支持irc的ddc等動態(tài)端口模式，安裝防火墻后不用設(shè)置PASV 之類的端口)
6. 端口映射功能
7. 流量控制
8. 采用最先進(jìn)的數(shù)據(jù)流指紋技術(shù)，提供強(qiáng)大的DOS(拒絕服務(wù))攻擊防護(hù)，徹底防護(hù)各種已知和未知的DOS攻擊.
9. 流量分析監(jiān)測
10. 實(shí)時(shí)訪問連接監(jiān)控
11. 支持dmz區(qū)的建立
12. 賬號，權(quán)限管理
13. 分布式管理

技術(shù)優(yōu)勢和特點(diǎn)：

??? KFW傲盾防火墻系統(tǒng)是一套全面，創(chuàng)新，高安全性，高性能的網(wǎng)絡(luò)安全系統(tǒng).它根據(jù)系統(tǒng)管理者設(shè)定的安全規(guī)則(Security Rules)把守企業(yè)網(wǎng)絡(luò)，提供強(qiáng)大的訪問控制，狀態(tài)檢測，網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation)，信息過濾，流量控制等功能.提供完善的安全性設(shè)置，通過高性能的網(wǎng)絡(luò)核心進(jìn)行訪問控制。