服務器專用的軟件防火墻(一勞永逸)

近日有網友發來郵件詢問在服務器系統上面運行什么樣的防火墻軟件效果比較好，之前論壇上也有關于哪些防火墻適合服務器使用的網友討論，今天，我們根據已經掌握的資料，為大家介紹一下目前比較適合服務器使用的防火墻軟件。

??? 首先要說明的是，服務器一般會有兩種使用方式，一種是托管的服務器，或者是在IDC租用的服務器，此時需要的是單機防火墻；另外一種是公司學校的局域網服務器，這種一般是作為網絡出口的橋頭堡，保護整個局域網的安全，這時要使用專門的網關防火墻。

??? 另外，不同的操作系統使用的防火墻肯定也是相去甚遠的，目前主流的操作系統當然就是WINDOWS和Linux，下面我們按照兩類操作系統對幾款比較值得推薦的防火墻軟件進行介紹：

服務器單機防火墻

??? 目前流行的WINDOWS單機防火墻有很多，如sygate personal firewall pro、blackice server edition、zone alarm、norton personal firewall、Panda Platinum Internet Security、NetPatrol、Tiny Firewall Pro、Agnitum Outpost Firewall Pro、McAfee Personal Firewall、kerio server firewall、kerio personal firewall等等。

??? sygate personal firewall pro、netpatrol和Tiny Firewall Pro由于功能過于強大，在使用的時候必須先在服務器上進行合理的預配置，否則用戶可能會無法通過網絡來訪問你的服務器；Panda Platinum Internet Security、McAfee Personal Firewall和norton personal firewall中，norton是最差勁的，不過它們都屬于比較龐大的防火墻，耗費的系統資源較大，不推薦；kerio personal firewall、zone alarm和Agnitum Outpost Firewall Pro都更適合個人使用，做服務器防火墻不好；kerio server firewall是基于B/S來控制的，這點或許有它的好處，但是使用起來感覺不如其他的方便。剩下就是blackice server edition了，它算設計比較優秀的防火墻軟件，不過有個不足就是應用層過濾都相對比較簡單，和一般的包過濾沒有多少區別（其他的防火墻功能都差不多，都不夠強大，除了sygate personal firewall pro、netpatrol和Tiny Firewall Pro）。

??? 國內也有一些開發商推出了專門的服務器防火墻軟件，雖然不少是由家庭版、個人版升級改裝而來，例如大名鼎鼎的天網實驗室開發的天網防火墻服務器版，不過由于其個人版使用的過濾監控機制本身就比較優秀而且易使用，所以適當改裝之后也還是很適合服務器單機應用，最主要的當然還是這些軟件采用中文界面，對一些英文不是很強的管理人員來說使用起來還是更親切一些。

??? 從使用者的角度出發，下面幾款單機版防火墻比較適合于擁有IDC服務器的用戶：

BlackICE Server Protection

功能簡介：

??? BlackICE Server Protection 是 ISS 安全公司出品的一款著名的入侵檢測系統，擁有強大的檢測，分析以及防護功能，而且很容易使用，可以偵察出誰在掃你的端口，在它們進攻我們的電腦之前攔截，保護我們的電腦不受欺害，可以收集入欺者的IP地址、計算機名-網絡系統地址、硬件地址-MAC地址，有日志供我們查看！作為服務器網絡防火墻來說，絕對是你的首選！

??? BlackICE 軟件曾經獲得PC Magazine 的技術卓越大獎，專家對它的評語是：“對于沒有防火墻的家庭用戶來說，BlackICE是一道不可缺少的防線；而對于企業網絡，它又增加了一層保護措施--它并不是要取代防火墻，而是阻止企圖穿過防火墻的入侵者。BlackICE集成有非常強大的檢測和分析引擎，可以識別200 多種入侵技巧，給你全面的網絡檢測以及系統防護，它還能即時監測網絡端口和協議，攔截所有可疑的網絡入侵，無論黑客如何費盡心機也無法危害到你的系統。而且它還可以將查明那些試圖入侵的黑客的NetBIOS(WINS)名、DNS名或是他目前所使用的IP地址記錄下來，以便你采取進一步行動。封言用過后感覺，該軟件的靈敏度和準確率非常高，穩定性也相當出色，系統資源占用率極少，是每一位上網朋友的最佳選擇。

新增功能：

1. 在設置中增加了應用程序與通信控制的功能條
2. 可控制應用程序是否在電腦上執行
3. 可控制哪些應用程序能與Internet通訊
4. 掃描你的系統，檢測所有的系統設置改變
5. 可在事件列表中記錄新軟件與新通訊事件的發生情況
6. 可以有效預防DDos攻擊，私服和服務器的首選軟件防火墻

Cyberwall PLUS-SV

功能簡介：

??? Cyberwall PLUS是美國網屹公司（網屹公司的產品主要定位于企業網內部網絡的安全防范）開發的一套先進的包過濾防火墻產品系列。它具有分布式、主機駐留的體系機構，代表著新一代防火墻的技術潮流。它可以在網絡邊界、網絡內部、服務器和客戶端等任何網絡結合處設置屏障，同時監測多種網絡通信協議，并可實現集中管理，從而形成了一個多層次、多措施、內外統一防范的立體安全體系。

??? CyberwallPlus系列防火墻包括CyberwallPlus主機防火墻、CyberwallPlus-AP保護內部網絡防火墻、CyberwallPlus-IP包過濾防火墻三種產品，其中CyberwallPlus又包含CyberwallPlus-WS工作站防火墻和CyberwallPlus-SV服務器防火墻兩個類別。Cyberwall PLUS-SV是世界上用于Windows NT/2000服務器最優秀的防火墻，對于在“electronically open”組織中管理Windows NT/2000服務器的管理員來說是必不可少的工具，幫助用戶的信息服務器和應用服務器抵御網絡的攻擊和入侵。

??? 網屹的CyberwallPLUS-SV主機入侵防護系統從兩方面來防止攻擊。它應用特定規則增強服務器的安全，進行全面的集中管理。雙向的過濾對服務器提供了雙重保護，使它不能成為特洛伊木馬和其它隱藏代碼攻擊的發射臺。該產品也是一種包過濾防火墻，提供了靈活、細致的網絡訪問控制，管理員可以精確地定義哪些網絡協議和地址被允許進入系統。這些控制將系統從未授權訪問和入侵企圖中保護和隱藏起來，還可以阻止未授權的從系統出去的流量。一旦包通過防火墻，它將通過狀態檢測引擎的嚴格檢查。CyberwallPLUS查看網絡層、傳輸層和應用層協議，結合這三層協議的規范來校驗包的結構。CyberwallPLUS使用包過濾引擎實現狀態包檢測，而不是利用入侵檢測來實現，它在每一個通訊會話的處理中動態的打開或關閉端口。這就避免了為某些協議如MS-RPC需要開放大量的端口的情況，可以實現更為嚴格的安全。

功能列表：

CyberwallPLUS具有Windows NT欠缺的安全保障，向系統管理員提供了保障系統安全必不可少的網絡訪問控制和入侵防護功能。
CyberwallPLUS引入了一系列獨立的Windows NT 欠缺的網絡安全功能，包括：
網絡訪問控制
狀態包檢測
基于時間的入侵檢測和防護
基于時間的安全策略
入侵報警
流量審核日志
實時流量監測
違反策略的事件日志
集中式的管理

KFW傲盾防火墻服務器版

功能簡介：

??? KFW傲盾防火墻網站防護版是一款針對各種網站，信息平臺，Internet服務等，集成多種功能模塊的安全平臺。

??? 本軟件是具有完全知識版權的防火墻，使用了目前最先進的第三代防火墻技術《DataStream Fingerprint Inspection》數據流指紋檢測技術，與企業級防火墻Check Point和Cisco相同，能夠檢測網絡協議中所有層的狀態，有效阻止DoS，DDoS等各種攻擊，保護您的服務器免受來自Internet上的黑客和入侵者的攻擊，破壞.通過最先進的企業級防火墻的技術，提供各種企業級功能，功能強大，齊全，價格低廉，是目前世界上性能價格比最高的網絡防火墻產品。

功能列表：

1. 數據包規則過濾
2. 數據流指紋檢測過濾
3. 數據包內容定制過濾
4. 網關路由支持
5. NAT功能(支持FTP PASV 和port，支持irc的ddc等動態端口模式，安裝防火墻后不用設置PASV 之類的端口)
6. 端口映射功能
7. 流量控制
8. 采用最先進的數據流指紋技術，提供強大的DOS(拒絕服務)攻擊防護，徹底防護各種已知和未知的DOS攻擊.
9. 流量分析監測
10. 實時訪問連接監控
11. 支持dmz區的建立
12. 賬號，權限管理
13. 分布式管理

技術優勢和特點：

??? KFW傲盾防火墻系統是一套全面，創新，高安全性，高性能的網絡安全系統.它根據系統管理者設定的安全規則(Security Rules)把守企業網絡，提供強大的訪問控制，狀態檢測，網絡地址轉換(Network Address Translation)，信息過濾，流量控制等功能.提供完善的安全性設置，通過高性能的網絡核心進行訪問控制。