服务器专用的软件防火墙(一劳永逸)

服务器专用的软件防火墙(一劳永逸)

近日有网友发来邮件询问在服务器系统上面运行什么样的防火墙软件效果比较好，之前论坛上也有关于哪些防火墙适合服务器使用的网友讨论，今天，我们根据已经掌握的资料，为大家介绍一下目前比较适合服务器使用的防火墙软件。

    首先要说明的是，服务器一般会有两种使用方式，一种是托管的服务器，或者是在IDC租用的服务器，此时需要的是单机防火墙；另外一种是公司学校的局域网服务器，这种一般是作为网络出口的桥头堡，保护整个局域网的安全，这时要使用专门的网关防火墙。

    另外，不同的操作系统使用的防火墙肯定也是相去甚远的，目前主流的操作系统当然就是WINDOWS和Linux，下面我们按照两类操作系统对几款比较值得推荐的防火墙软件进行介绍：

服务器单机防火墙

    目前流行的WINDOWS单机防火墙有很多，如sygate personal firewall pro、blackice server edition、zone alarm、norton personal firewall、Panda Platinum Internet Security、NetPatrol、Tiny Firewall Pro、Agnitum Outpost Firewall Pro、McAfee Personal Firewall、kerio server firewall、kerio personal firewall等等。

    sygate personal firewall pro、netpatrol和Tiny Firewall Pro由于功能过于强大，在使用的时候必须先在服务器上进行合理的预配置，否则用户可能会无法通过网络来访问你的服务器；Panda Platinum Internet Security、McAfee Personal Firewall和norton personal firewall中，norton是最差劲的，不过它们都属于比较庞大的防火墙，耗费的系统资源较大，不推荐；kerio personal firewall、zone alarm和Agnitum Outpost Firewall Pro都更适合个人使用，做服务器防火墙不好；kerio server firewall是基于B/S来控制的，这点或许有它的好处，但是使用起来感觉不如其他的方便。剩下就是blackice server edition了，它算设计比较优秀的防火墙软件，不过有个不足就是应用层过滤都相对比较简单，和一般的包过滤没有多少区别（其他的防火墙功能都差不多，都不够强大，除了sygate personal firewall pro、netpatrol和Tiny Firewall Pro）。

    国内也有一些开发商推出了专门的服务器防火墙软件，虽然不少是由家庭版、个人版升级改装而来，例如大名鼎鼎的天网实验室开发的天网防火墙服务器版，不过由于其个人版使用的过滤监控机制本身就比较优秀而且易使用，所以适当改装之后也还是很适合服务器单机应用，最主要的当然还是这些软件采用中文界面，对一些英文不是很强的管理人员来说使用起来还是更亲切一些。

    从使用者的角度出发，下面几款单机版防火墙比较适合于拥有IDC服务器的用户：

BlackICE Server Protection

功能简介：

    BlackICE Server Protection 是 ISS 安全公司出品的一款著名的入侵检测系统，拥有强大的检测，分析以及防护功能，而且很容易使用，可以侦察出谁在扫你的端口，在它们进攻我们的电脑之前拦截，保护我们的电脑不受欺害，可以收集入欺者的IP地址、计算机名-网络系统地址、硬件地址-MAC地址，有日志供我们查看！作为服务器网络防火墙来说，绝对是你的首选！

    BlackICE 软件曾经获得PC Magazine 的技术卓越大奖，专家对它的评语是：“对于没有防火墙的家庭用户来说，BlackICE是一道不可缺少的防线；而对于企业网络，它又增加了一层保护措施--它并不是要取代防火墙，而是阻止企图穿过防火墙的入侵者。BlackICE集成有非常强大的检测和分析引擎，可以识别200 多种入侵技巧，给你全面的网络检测以及系统防护，它还能即时监测网络端口和协议，拦截所有可疑的网络入侵，无论黑客如何费尽心机也无法危害到你的系统。而且它还可以将查明那些试图入侵的黑客的NetBIOS(WINS)名、DNS名或是他目前所使用的IP地址记录下来，以便你采取进一步行动。封言用过后感觉，该软件的灵敏度和准确率非常高，稳定性也相当出色，系统资源占用率极少，是每一位上网朋友的最佳选择。

新增功能：

1. 在设置中增加了应用程序与通信控制的功能条
2. 可控制应用程序是否在电脑上执行
3. 可控制哪些应用程序能与Internet通讯
4. 扫描你的系统，检测所有的系统设置改变
5. 可在事件列表中记录新软件与新通讯事件的发生情况
6. 可以有效预防DDos攻击，私服和服务器的首选软件防火墙

Cyberwall PLUS-SV

功能简介：

    Cyberwall PLUS是美国网屹公司（网屹公司的产品主要定位于企业网内部网络的安全防范）开发的一套先进的包过滤防火墙产品系列。它具有分布式、主机驻留的体系机构，代表着新一代防火墙的技术潮流。它可以在网络边界、网络内部、服务器和客户端等任何网络结合处设置屏障，同时监测多种网络通信协议，并可实现集中管理，从而形成了一个多层次、多措施、内外统一防范的立体安全体系。

    CyberwallPlus系列防火墙包括CyberwallPlus主机防火墙、CyberwallPlus-AP保护内部网络防火墙、CyberwallPlus-IP包过滤防火墙三种产品，其中CyberwallPlus又包含CyberwallPlus-WS工作站防火墙和CyberwallPlus-SV服务器防火墙两个类别。Cyberwall PLUS-SV是世界上用于Windows NT/2000服务器最优秀的防火墙，对于在“electronically open”组织中管理Windows NT/2000服务器的管理员来说是必不可少的工具，帮助用户的信息服务器和应用服务器抵御网络的攻击和入侵。

    网屹的CyberwallPLUS-SV主机入侵防护系统从两方面来防止攻击。它应用特定规则增强服务器的安全，进行全面的集中管理。双向的过滤对服务器提供了双重保护，使它不能成为特洛伊木马和其它隐藏代码攻击的发射台。该产品也是一种包过滤防火墙，提供了灵活、细致的网络访问控制，管理员可以精确地定义哪些网络协议和地址被允许进入系统。这些控制将系统从未授权访问和入侵企图中保护和隐藏起来，还可以阻止未授权的从系统出去的流量。一旦包通过防火墙，它将通过状态检测引擎的严格检查。CyberwallPLUS查看网络层、传输层和应用层协议，结合这三层协议的规范来校验包的结构。CyberwallPLUS使用包过滤引擎实现状态包检测，而不是利用入侵检测来实现，它在每一个通讯会话的处理中动态的打开或关闭端口。这就避免了为某些协议如MS-RPC需要开放大量的端口的情况，可以实现更为严格的安全。

功能列表：

CyberwallPLUS具有Windows NT欠缺的安全保障，向系统管理员提供了保障系统安全必不可少的网络访问控制和入侵防护功能。
CyberwallPLUS引入了一系列独立的Windows NT 欠缺的网络安全功能，包括：
网络访问控制
状态包检测
基于时间的入侵检测和防护
基于时间的安全策略
入侵报警
流量审核日志
实时流量监测
违反策略的事件日志
集中式的管理

KFW傲盾防火墙服务器版

功能简介：

    KFW傲盾防火墙网站防护版是一款针对各种网站，信息平台，Internet服务等，集成多种功能模块的安全平台。

    本软件是具有完全知识版权的防火墙，使用了目前最先进的第三代防火墙技术《DataStream Fingerprint Inspection》数据流指纹检测技术，与企业级防火墙Check Point和Cisco相同，能够检测网络协议中所有层的状态，有效阻止DoS，DDoS等各种攻击，保护您的服务器免受来自Internet上的黑客和入侵者的攻击，破坏.通过最先进的企业级防火墙的技术，提供各种企业级功能，功能强大，齐全，价格低廉，是目前世界上性能价格比最高的网络防火墙产品。

功能列表：

1. 数据包规则过滤
2. 数据流指纹检测过滤
3. 数据包内容定制过滤
4. 网关路由支持
5. NAT功能(支持FTP PASV 和port，支持irc的ddc等动态端口模式，安装防火墙后不用设置PASV 之类的端口)
6. 端口映射功能
7. 流量控制
8. 采用最先进的数据流指纹技术，提供强大的DOS(拒绝服务)攻击防护，彻底防护各种已知和未知的DOS攻击.
9. 流量分析监测
10. 实时访问连接监控
11. 支持dmz区的建立
12. 账号，权限管理
13. 分布式管理

技术优势和特点：

    KFW傲盾防火墙系统是一套全面，创新，高安全性，高性能的网络安全系统.它根据系统管理者设定的安全规则(Security Rules)把守企业网络，提供强大的访问控制，状态检测，网络地址转换(Network Address Translation)，信息过滤，流量控制等功能.提供完善的安全性设置，通过高性能的网络核心进行访问控制。