伺服器專用的軟體防火牆(一勞永逸)

伺服器專用的軟體防火牆(一勞永逸)

近日有網友發來郵件詢問在伺服器系統上面運行什麼樣的防火牆軟體效果比較好，之前論壇上也有關於哪些防火牆適合伺服器使用的網友討論，今天，我們根據已經掌握的資料，為大家介紹一下目前比較適合伺服器使用的防火牆軟體。

    首先要說明的是，伺服器一般會有兩種使用方式，一種是託管的伺服器，或者是在IDC租用的伺服器，此時需要的是單機防火牆；另外一種是公司學校的區域網伺服器，這種一般是作為網路出口的橋頭堡，保護整個區域網的安全，這時要使用專門的網關防火牆。

    另外，不同的操作系統使用的防火牆肯定也是相去甚遠的，目前主流的操作系統當然就是WINDOWS和Linux，下面我們按照兩類操作系統對幾款比較值得推薦的防火牆軟體進行介紹：

伺服器單機防火牆

    目前流行的WINDOWS單機防火牆有很多，如sygate personal firewall pro、blackice server edition、zone alarm、norton personal firewall、Panda Platinum Internet Security、NetPatrol、Tiny Firewall Pro、Agnitum Outpost Firewall Pro、McAfee Personal Firewall、kerio server firewall、kerio personal firewall等等。

    sygate personal firewall pro、netpatrol和Tiny Firewall Pro由於功能過於強大，在使用的時候必須先在伺服器上進行合理的預配置，否則用戶可能會無法通過網路來訪問你的伺服器；Panda Platinum Internet Security、McAfee Personal Firewall和norton personal firewall中，norton是最差勁的，不過它們都屬於比較龐大的防火牆，耗費的系統資源較大，不推薦；kerio personal firewall、zone alarm和Agnitum Outpost Firewall Pro都更適合個人使用，做伺服器防火牆不好；kerio server firewall是基於B/S來控制的，這點或許有它的好處，但是使用起來感覺不如其他的方便。剩下就是blackice server edition了，它算設計比較優秀的防火牆軟體，不過有個不足就是應用層過濾都相對比較簡單，和一般的包過濾沒有多少區別（其他的防火牆功能都差不多，都不夠強大，除了sygate personal firewall pro、netpatrol和Tiny Firewall Pro）。

    國內也有一些開發商推出了專門的伺服器防火牆軟體，雖然不少是由家庭版、個人版升級改裝而來，例如大名鼎鼎的天網實驗室開發的天網防火牆伺服器版，不過由於其個人版使用的過濾監控機制本身就比較優秀而且易使用，所以適當改裝之後也還是很適合伺服器單機應用，最主要的當然還是這些軟體採用中文界面，對一些英文不是很強的管理人員來說使用起來還是更親切一些。

    從使用者的角度出發，下面幾款單機版防火牆比較適合於擁有IDC伺服器的用戶：

BlackICE Server Protection

功能簡介：

    BlackICE Server Protection 是 ISS 安全公司出品的一款著名的入侵檢測系統，擁有強大的檢測，分析以及防護功能，而且很容易使用，可以偵察出誰在掃你的埠，在它們進攻我們的電腦之前攔截，保護我們的電腦不受欺害，可以收集入欺者的IP地址、計算機名-網路系統地址、硬體地址-MAC地址，有日誌供我們查看！作為伺服器網路防火牆來說，絕對是你的首選！

    BlackICE 軟體曾經獲得PC Magazine 的技術卓越大獎，專家對它的評語是：「對於沒有防火牆的家庭用戶來說，BlackICE是一道不可缺少的防線；而對於企業網路，它又增加了一層保護措施--它並不是要取代防火牆，而是阻止企圖穿過防火牆的入侵者。BlackICE集成有非常強大的檢測和分析引擎，可以識別200 多種入侵技巧，給你全面的網路檢測以及系統防護，它還能即時監測網路埠和協議，攔截所有可疑的網路入侵，無論黑客如何費盡心機也無法危害到你的系統。而且它還可以將查明那些試圖入侵的黑客的NetBIOS(WINS)名、DNS名或是他目前所使用的IP地址記錄下來，以便你採取進一步行動。封言用過後感覺，該軟體的靈敏度和準確率非常高，穩定性也相當出色，系統資源佔用率極少，是每一位上網朋友的最佳選擇。

新增功能：

1. 在設置中增加了應用程序與通信控制的功能條
2. 可控制應用程序是否在電腦上執行
3. 可控制哪些應用程序能與Internet通訊
4. 掃描你的系統，檢測所有的系統設置改變
5. 可在事件列表中記錄新軟體與新通訊事件的發生情況
6. 可以有效預防DDos攻擊，私服和伺服器的首選軟體防火牆

Cyberwall PLUS-SV

功能簡介：

    Cyberwall PLUS是美國網屹公司（網屹公司的產品主要定位於企業網內部網路的安全防範）開發的一套先進的包過濾防火牆產品系列。它具有分散式、主機駐留的體系機構，代表著新一代防火牆的技術潮流。它可以在網路邊界、網路內部、伺服器和客戶端等任何網路結合處設置屏障，同時監測多種網路通信協議，並可實現集中管理，從而形成了一個多層次、多措施、內外統一防範的立體安全體系。

    CyberwallPlus系列防火牆包括CyberwallPlus主機防火牆、CyberwallPlus-AP保護內部網路防火牆、CyberwallPlus-IP包過濾防火牆三種產品，其中CyberwallPlus又包含CyberwallPlus-WS工作站防火牆和CyberwallPlus-SV伺服器防火牆兩個類別。Cyberwall PLUS-SV是世界上用於Windows NT/2000伺服器最優秀的防火牆，對於在「electronically open」組織中管理Windows NT/2000伺服器的管理員來說是必不可少的工具，幫助用戶的信息伺服器和應用伺服器抵禦網路的攻擊和入侵。

    網屹的CyberwallPLUS-SV主機入侵防護系統從兩方面來防止攻擊。它應用特定規則增強伺服器的安全，進行全面的集中管理。雙向的過濾對伺服器提供了雙重保護，使它不能成為特洛伊木馬和其它隱藏代碼攻擊的發射台。該產品也是一種包過濾防火牆，提供了靈活、細緻的網路訪問控制，管理員可以精確地定義哪些網路協議和地址被允許進入系統。這些控制將系統從未授權訪問和入侵企圖中保護和隱藏起來，還可以阻止未授權的從系統出去的流量。一旦包通過防火牆，它將通過狀態檢測引擎的嚴格檢查。CyberwallPLUS查看網路層、傳輸層和應用層協議，結合這三層協議的規範來校驗包的結構。CyberwallPLUS使用包過濾引擎實現狀態包檢測，而不是利用入侵檢測來實現，它在每一個通訊會話的處理中動態的打開或關閉埠。這就避免了為某些協議如MS-RPC需要開放大量的埠的情況，可以實現更為嚴格的安全。

功能列表：

CyberwallPLUS具有Windows NT欠缺的安全保障，向系統管理員提供了保障系統安全必不可少的網路訪問控制和入侵防護功能。
CyberwallPLUS引入了一系列獨立的Windows NT 欠缺的網路安全功能，包括：
網路訪問控制
狀態包檢測
基於時間的入侵檢測和防護
基於時間的安全策略
入侵報警
流量審核日誌
實時流量監測
違反策略的事件日誌
集中式的管理

KFW傲盾防火牆伺服器版

功能簡介：

    KFW傲盾防火牆網站防護版是一款針對各種網站，信息平台，Internet服務等，集成多種功能模塊的安全平台。

    本軟體是具有完全知識版權的防火牆，使用了目前最先進的第三代防火牆技術《DataStream Fingerprint Inspection》數據流指紋檢測技術，與企業級防火牆Check Point和Cisco相同，能夠檢測網路協議中所有層的狀態，有效阻止DoS，DDoS等各種攻擊，保護您的伺服器免受來自Internet上的黑客和入侵者的攻擊，破壞.通過最先進的企業級防火牆的技術，提供各種企業級功能，功能強大，齊全，價格低廉，是目前世界上性能價格比最高的網路防火牆產品。

功能列表：

1. 數據包規則過濾
2. 數據流指紋檢測過濾
3. 數據包內容定製過濾
4. 網關路由支持
5. NAT功能(支持FTP PASV 和port，支持irc的ddc等動態埠模式，安裝防火牆后不用設置PASV 之類的埠)
6. 埠映射功能
7. 流量控制
8. 採用最先進的數據流指紋技術，提供強大的DOS(拒絕服務)攻擊防護，徹底防護各種已知和未知的DOS攻擊.
9. 流量分析監測
10. 實時訪問連接監控
11. 支持dmz區的建立
12. 賬號，許可權管理
13. 分散式管理

技術優勢和特點：

    KFW傲盾防火牆系統是一套全面，創新，高安全性，高性能的網路安全系統.它根據系統管理者設定的安全規則(Security Rules)把守企業網路，提供強大的訪問控制，狀態檢測，網路地址轉換(Network Address Translation)，信息過濾，流量控制等功能.提供完善的安全性設置，通過高性能的網路核心進行訪問控制。