服务器常用防火墙.docx

1、服务器常用防火墙服务器常用防火墙首先要说明的是，服务器一般会有两种使用方式，一种是托管的服务器，或者是在IDC租用的服务器，此时需要的是单机防火墙；另外一种是公司学校的局域网服务器，这种一般是作为网络出口的桥头堡，保护整个局域网的安全，这时要使用专门的网关防火墙。另外，不同的操作系统使用的防火墙肯定也是相去甚远的，目前主流的操作系统当然就是WINDOWS和Linux，下面我们按照两类操作系统对几款比较值得推荐的防火墙软件进行介绍：WINDOWS系统服务器单机防火墙 国内也有一些开发商推出了专门的服务器防火墙软件，虽然不少是由家庭版、个人版升级改装而来，例如大名鼎鼎的天网实验室开发的天网防火墙服

2、务器版，不过由于其个人版使用的过滤监控机制本身就比较优秀而且易使用，所以适当改装之后也还是很适合服务器单机应用，最主要的当然还是这些软件采用中文界面，对一些英文不是很强的管理人员来说使用起来还是更亲切一些。从使用者的角度出发，下面几款单机版防火墙比较适合于拥有IDC服务器的用户：BlackICE Server Protection 功能简介：BlackICE Server Protection 是ISS 安全公司出品的一款著名的入侵检测系统，拥有强大的检测，分析以及防护功能，而且很容易使用，可以侦察出谁在扫你的端口，在它们进攻我们的电脑之前拦截，保护我们的电脑不受欺害，可以收集入欺者的IP地址

3、、计算机名-网络系统地址、硬件地址-MAC地址，有日志供我们查看！作为服务器网络防火墙来说，绝对是你的首选！BlackICE 软件曾经获得PC Magazine 的技术卓越大奖，专家对它的评语是：“对于没有防火墙的家庭用户来说，BlackICE是一道不可缺少的防线；而对于企业网络，它又增加了一层保护措施-它并不是要取代防火墙，而是阻止企图穿过防火墙的入侵者。BlackICE集成有非常强大的检测和分析引擎，可以识别200多种入侵技巧，给你全面的网络检测以及系统防护，它还能即时监测网络端口和协议，拦截所有可疑的网络入侵，无论黑客如何费尽心机也无法危害到你的系统。而且它还可以将查明那些试图入侵的黑客

4、的NetBIOS(WINS)名、DNS名或是他目前所使用的IP地址记录下来，以便你采取进一步行动。封言用过后感觉，该软件的灵敏度和准确率非常高，稳定性也相当出色，系统资源占用率极少，是每一位上网朋友的最佳选择。新增功能：1.在设置中增加了应用程序与通信控制的功能条2.可控制应用程序是否在电脑上执行 4.扫描你的系统，检测所有的系统设置改变5.可在事件列表中记录新软件与新通讯事件的发生情况6.可以有效预防DDos攻击，私服和服务器的首选软件防火墙Cyberwall PLUS-SV 功能简介：Cyberwall PLUS是美国网屹公司（网屹公司的产品主要定位于企业网内部网络的安全防范）开发的一套先

5、进的包过滤防火墙产品系列。它具有分布式、主机驻留的体系机构，代表着新一代防火墙的技术潮流。它可以在网络边界、网络内部、服务器和客户端等任何网络结合处设置屏障，同时监测多种网络通信协议，并可实现集中管理，从而形成了一个多层次、多措施、内外统一防范的立体安全体系。CyberwallPlus系列防火墙包括CyberwallPlus主机防火墙、CyberwallPlus-AP保护内部网络防火墙、CyberwallPlus-IP包过滤防火墙三种产品，其中CyberwallPlus又包含CyberwallPlus-WS工作站防火墙和CyberwallPlus-SV服务器防火墙两个类别。Cyberwall

6、PLUS-SV是世界上用于Windows NT/2000服务器最优秀的防火墙，对于在“electronically open”组织中管理Windows NT/2000服务器的管理员来说是必不可少的工具，帮助用户的信息服务器和应用服务器抵御网络的攻击和入侵。网屹的CyberwallPLUS-SV主机入侵防护系统从两方面来防止攻击。它应用特定规则增强服务器的安全，进行全面的集中管理。双向的过滤对服务器提供了双重保护，使它不能成为特洛伊木马和其它隐藏代码攻击的发射台。该产品也是一种包过滤防火墙，提供了灵活、细致的网络访问控制，管理员可以精确地定义哪些网络协议和地址被允许进入系统。这些控制将系统从未授

7、权访问和入侵企图中保护和隐藏起来，还可以阻止未授权的从系统出去的流量。一旦包通过防火墙，它将通过状态检测引擎的严格检查。CyberwallPLUS查看网络层、传输层和应用层协议，结合这三层协议的规范来校验包的结构。CyberwallPLUS使用包过滤引擎实现状态包检测，而不是利用入侵检测来实现，它在每一个通讯会话的处理中动态的打开或关闭端口。这就避免了为某些协议如MS-RPC需要开放大量的端口的情况，可以实现更为严格的安全。功能列表：CyberwallPLUS具有Windows NT欠缺的安全保障，向系统管理员提供了保障系统安全必不可少的网络访问控制和入侵防护功能。CyberwallPLUS引

8、入了一系列独立的Windows NT 欠缺的网络安全功能，包括：网络访问控制状态包检测基于时间的入侵检测和防护基于时间的安全策略入侵报警流量审核xx实时流量监测违反策略的事件xx集中式的管理KFWxx防火墙服务器版功能简介： 功能列表：1.数据包规则过滤2.数据流指纹检测过滤3.数据包内容定制过滤4.网关路由支持5.NAT功能(支持FTP PASV 和port，支持irc的ddc等动态端口模式，安装防火墙后不用设置PASV 之类的端口)6.端口映射功能7.流量控制8.采用最先进的数据流指纹技术，提供强大的DOS(拒绝服务)攻击防护，彻底防护各种已知和未知的DOS攻击.9.流量分析监测10.实时

9、访问连接监控11.支持dmz区的建立12.账号，权限管理13.分布式管理技术优势和特点：KFW傲盾防火墙系统是一套全面，创新，高安全性，高性能的网络安全系统.它根据系统管理者设定的安全规则(SecurityRules)把守企业网络，提供强大的访问控制，状态检测，网络地址转换(Network Address Translation)，信息过滤，流量控制等功能.提供完善的安全性设置，通过高性能的网络核心进行访问控制。服务器网关防火墙如果是上面说的第二种情况，用服务器来做网关的话，就需要一款功能强大而且能够对整个局域网实施保护的专业防火墙软件，这类软件并不多，微软的ISA Server 2004算是

10、非常出色的一款代表产品：ISA Server 2004功能简介：继ISA Server 2000之后，微软发布了最新的ISA Server 2004，不管是相对于它的前身ISA Server 2000，还是相对其他防火墙或代理服务器产品，ISA Server 2004都是一个值得赞誉的产品，现在，微软不仅仅以软件的形式提供ISA Server 2004，而且有了以硬件形式出现的第三方产品，比如HP ProLiant DL320。 新增功能：1.多网络多网络配置：可以配置一个或多个网络，并使每个网络都与其他网络具有明确的关系。独特的每个网络策略：使用ISA 服务器新增的多网络功能，可以通过限制客

11、户端（甚至组织内部的客户端）之间的通讯来防止网络受到内部和外部的安全威胁。路由和NAT 网络关系：可以使用ISA 服务器并根据所需要的访问和通讯来定义网络之间的路由关系。2.安全和防火墙策略支持需要多个主连接的复杂协议：包括许多流媒体、语音应用程序和视频应用程序所需要的协议。自定义的协议定义：可以控制为创建防火墙策略规则的任何协议而使用的源端口号和目标端口号。身份验证：可以使用内置的Windows、RADIUS、RSA SecurID 身份验证或其他名称空间对用户进行身份验证。网络对象：可以定义网络对象，其中包括计算机、网络、网络集、地址范围、子网、计算机集和域名集。防火墙策略规则代表有序的列

12、表：防火墙策略规则代表有序的列表，其中连接参数将首先与列表中最上面的规则进行比较。Outlook Web Access 发布向导：提供为Exchange 服务器的Outlook Web Access 创建安全套接字层(SSL)虚拟专用网络(VPN)的步骤。FTP 支持： 服务器发布规则的端口重定向：可以在一个端口号上接收连接，而将请求重定向到发布的服务器上的另一个端口号。安全的Web 发布：可以将服务器放置在公司网络或外围网络中防火墙的后面，并安全地发布其服务。HTTP 1.1支持：与上游服务器连接时，ISA 服务器是HTTP 1.1客户端。3.虚拟专用网络VPN 管理：ISA 服务器包含一种

13、完全集成的虚拟专用网络机制，该机制基于Server 2003/2000。对VPN 的状态筛选和检查：由于VPN 客户端配置为独立的网络，因此可以为VPN 客户端创建单独的策略。Secure NAT：防火墙策略引擎有差别地检查来自VPN 客户端的请求，对这些请求进行状态筛选和检查，并根据访问策略动态地打开连接。通过站点到站点的VPN 隧道进行状态筛选和检查：ISA 服务器针对通过站点到站点的VPN 连接移动的所有通讯引入了状态筛选和检查。VPN 隔离控制：可以在独立的网络上隔离VPN 客户端，直到它们满足预定义的一组安全要求。对站点到站点VPN 链接的IPSec 隧道模式支持：ISA 服务器通过

14、允许将IPSec 隧道模式用作VPN 协议来提供站点到站点的链接支持。VPN 监视和xx记录：可以监视VPN 客户端和远程VPN 网络的活动，就像监视其他任何ISA 服务器客户端的活动一样。4.监视仪表板：视图汇总了有关会话、警报、服务、报告、连接性以及常规系统运行状况的监视信息。在xx查看器中进行实时监视：可以实时地查看防火墙和Web 代理日志。内置xx查询（筛选）：可以使用内置的日志查询工具来查询日志文件。会话的实时监视和筛选：可以查看所有活动的连接。连接性验证程序：通过从ISA 服务器计算机上使用连接验证程序定期监视与特定计算机或统一资源定位器(URL)的连接，可以验证连接性。报告发布：

15、可以配置ISA 服务器报告任务，以便自动将报告的副本保存到本地文件夹或网络文件共享中。记录到MSDE 数据库：xx现在可以存储为MSDE 格式。5.插件每条规则基础上的HTTP 筛选：ISA 服务器的HTTP 策略使得防火墙可以执行深入的HTTP 状态检查（应用程序层筛选）。阻止对所有可执行内容的访问：可以配置ISA 服务器的HTTP 策略阻止对Windows 可执行内容的所有连接尝试（无论在资源上使用什么文件扩展名）。将HTTP 筛选应用于所有ISA 服务器客户端连接：ISA 服务器可以使用MIME Enter（对于HTTP）或文件扩展名（对于FTP）来阻止基于Web 代理客户端的HTTP

16、连接或FTP 连接访问内容。基于HTTP 签名控制HTTP 访问：可以创建HTTP 签名，并将其与请求URL、请求头、请求正文、响应头和响应正文进行比较。强制实现从完整Outlook MAPI 客户端的安全Exchange RPC 连接：使用ISA 服务器的RPC 策略，可以阻止所有未加密的Outlook MAPI 客户端连接。FTP 策略：ISA 服务器的FTP 策略可以配置为允许用户使用FTP 进行上载和下载，或者可以限定仅允许用户使用FTP 进行下载。链接转换：ISA 服务器包含一项链接转换功能，以便您可以为内部计算机名称创建定义词典，使其映射为众所周知的名称。对IP 选项的精细控制：可

17、以很精细地配置IP 选项，仅允许您需要的IP 选项，同时禁止其他所有选项。LINUX系统在LINUX操作系统上的防火墙软件也很多，有些是商用版本的防火墙，有的则是完全免费和公开源代码的防火墙。大多数LINUX教程都提到了如何在LINUX平台中使用IPCHAINS来构筑防火墙。IPCHAINS 简介：IPCHAINS 是Linux 下的防火墙软件，其源码可以免费获得，在REDHAT、蓝点的最近几个版本中都带有该软件。IPCHAINS 被用来安装、维护、检查Linux内核的防火墙规则，完成这些只需要一个叫IPCHAINS 的公开源码的软件包，它是由Paul “Rusty”Russell 提供的。这

18、个软件具备了许多商业防火墙产品的特征：允许自定义网络通信量的流向，及哪些访问者可以获准进出。IPCHAINS 有两种运行方式：代理服务器和网络地址转换器。前者接收来自受防火墙保护的网络内部机器的数据流，使用用户定义的规则对其进行过滤处理，然后发送给外部网络。主要特色：IPCHAINS 本质上是包过滤器。它检查到达网络接口的IP 包，根据事先定义好的规则进行修改，然后再转发给其它接口。IPCHAINS 的名称来自其工作特点。它能够创建合理过滤步骤，根据用户定义的规则来处理包。这些步骤被”链接”在一起来创建包处理的完整规则体系。这个处理”链条”可以与具体的IP 地址，或者网络地址相结合。最简单的情

19、况下，IPCHAINS 只执行三种策略：接受、和拒绝。它能接受来自指定IP 地址或网络的所有包，否决策略丢弃来自特定地方的所有包。拒绝策略则丢弃来自指定源头的包，并且通知该源头其请求的连接被拒绝。NAI Gauntlet 简介：这是一种基于软件的防火墙，支持NT和UNIX系统，目前的最新版本是Gauntlet Firewall 2.1 for NT/UNIX。主要特色： Firestarter 简介：Firestarter防火墙是一款非常优秀的基于GUI图形用户界面下的，完全免费的自由软件，它为中小型Linux网络的系统管理员提供了良好的安全服务，适用于单机工作站、服务器、小型网络服务器和家用

20、Llnux系统平台的安全防护，它能胜任在Linux下一般的系统安全任务。主要特色：它的使用简单但功能强大：如果你的Linux系统中安装的声卡、并且在Firestarter中进行了配置，那么在遭到系统入侵时它还会发出报警铃声。Firestarter运行时只占用很少的系统资源，它为Linux平台提供了快捷有效的安全防护功能。并且在系统出现异常情况的时候能及时的向管理员通知及相关信息、以帮助系统管理员及时的对系统作出相应的处理和反应。Fire starter防火墙在程序运行后在系统桌面的任务条菜单处，易于迅速的启动和关闭网络中指定的计算机。Firestarter的安装十分容易，有安装向导引导，即使是Linux软件不熟悉的用户也能通过向导轻松完成防火墙的安装和设置。另外，Firestarter的README文件里面的注释非常清楚，方便了用户的修改和重新定义某些参数。就像Firestarter的开发者Tomas Jounonen所说的它是一个“All-in-one”的Linux防火墙。