服务器常用防火墙.doc

服务器常用防火墙首先要说明的是，服务器一般会有两种使用方式，一种是托管的服务器，或者是在IDC租用的服务器，此时需要的是单机防火墙；另外一种是公司学校的局域网服务器，这种一般是作为网络出口的桥头堡，保护整个局域网的安全，这时要使用专门的网关防火墙。 另外，不同的操作系统使用的防火墙肯定也是相去甚远的，目前主流的操作系统当然就是WINDOWS和Linux，下面我们按照两类操作系统对几款比较值得推荐的防火墙软件进行介绍：WINDOWS系统服务器单机防火墙 目前流行的WINDOWS单机防火墙有很多，如sygate personal firewall pro、blackice server edition、zone alarm、norton personal firewall、Panda Platinum Internet Security、NetPatrol、Tiny Firewall Pro、Agnitum Outpost Firewall Pro、McAfee Personal Firewall、kerio server firewall、kerio personal firewall等等。 sygate personal firewall pro、netpatrol和Tiny Firewall Pro由于功能过于强大，在使用的时候必须先在服务器上进行合理的预配置，否则用户可能会无法通过网络来访问你的服务器；Panda Platinum Internet Security、McAfee Personal Firewall和norton personal firewall中，norton是最差劲的，不过它们都属于比较庞大的防火墙，耗费的系统资源较大，不推荐；kerio personal firewall、zone alarm和Agnitum Outpost Firewall Pro都更适合个人使用，做服务器防火墙不好；kerio server firewall是基于B/S来控制的，这点或许有它的好处，但是使用起来感觉不如其他的方便。剩下就是blackice server edition了，它算设计比较优秀的防火墙软件，不过有个不足就是应用层过滤都相对比较简单，和一般的包过滤没有多少区别（其他的防火墙功能都差不多，都不够强大，除了sygate personal firewall pro、netpatrol和Tiny Firewall Pro）。 国内也有一些开发商推出了专门的服务器防火墙软件，虽然不少是由家庭版、个人版升级改装而来，例如大名鼎鼎的天网实验室开发的天网防火墙服务器版，不过由于其个人版使用的过滤监控机制本身就比较优秀而且易使用，所以适当改装之后也还是很适合服务器单机应用，最主要的当然还是这些软件采用中文界面，对一些英文不是很强的管理人员来说使用起来还是更亲切一些。 从使用者的角度出发，下面几款单机版防火墙比较适合于拥有IDC服务器的用户：BlackICE Server Protection功能简介： BlackICE Server Protection 是 ISS 安全公司出品的一款著名的入侵检测系统，拥有强大的检测，分析以及防护功能，而且很容易使用，可以侦察出谁在扫你的端口，在它们进攻我们的电脑之前拦截，保护我们的电脑不受欺害，可以收集入欺者的IP地址、计算机名-网络系统地址、硬件地址-MAC地址，有日志供我们查看！作为服务器网络防火墙来说，绝对是你的首选！ BlackICE 软件曾经获得PC Magazine 的技术卓越大奖，专家对它的评语是：“对于没有防火墙的家庭用户来说，BlackICE是一道不可缺少的防线；而对于企业网络，它又增加了一层保护措施-它并不是要取代防火墙，而是阻止企图穿过防火墙的入侵者。BlackICE集成有非常强大的检测和分析引擎，可以识别200 多种入侵技巧，给你全面的网络检测以及系统防护，它还能即时监测网络端口和协议，拦截所有可疑的网络入侵，无论黑客如何费尽心机也无法危害到你的系统。而且它还可以将查明那些试图入侵的黑客的NetBIOS(WINS)名、DNS名或是他目前所使用的IP地址记录下来，以便你采取进一步行动。封言用过后感觉，该软件的灵敏度和准确率非常高，稳定性也相当出色，系统资源占用率极少，是每一位上网朋友的最佳选择。新增功能： 1. 在设置中增加了应用程序与通信控制的功能条 2. 可控制应用程序是否在电脑上执行 3. 可控制哪些应用程序能与Internet通讯 4. 扫描你的系统，检测所有的系统设置改变 5. 可在事件列表中记录新软件与新通讯事件的发生情况 6. 可以有效预防DDos攻击，私服和服务器的首选软件防火墙Cyberwall PLUS-SV功能简介： Cyberwall PLUS是美国网屹公司（网屹公司的产品主要定位于企业网内部网络的安全防范）开发的一套先进的包过滤防火墙产品系列。它具有分布式、主机驻留的体系机构，代表着新一代防火墙的技术潮流。它可以在网络边界、网络内部、服务器和客户端等任何网络结合处设置屏障，同时监测多种网络通信协议，并可实现集中管理，从而形成了一个多层次、多措施、内外统一防范的立体安全体系。 CyberwallPlus系列防火墙包括CyberwallPlus主机防火墙、CyberwallPlus-AP保护内部网络防火墙、CyberwallPlus-IP包过滤防火墙三种产品，其中CyberwallPlus又包含CyberwallPlus-WS工作站防火墙和CyberwallPlus-SV服务器防火墙两个类别。Cyberwall PLUS-SV是世界上用于Windows NT/2000服务器最优秀的防火墙，对于在“electronically open”组织中管理Windows NT/2000服务器的管理员来说是必不可少的工具，帮助用户的信息服务器和应用服务器抵御网络的攻击和入侵。 网屹的CyberwallPLUS-SV主机入侵防护系统从两方面来防止攻击。它应用特定规则增强服务器的安全，进行全面的集中管理。双向的过滤对服务器提供了双重保护，使它不能成为特洛伊木马和其它隐藏代码攻击的发射台。该产品也是一种包过滤防火墙，提供了灵活、细致的网络访问控制，管理员可以精确地定义哪些网络协议和地址被允许进入系统。这些控制将系统从未授权访问和入侵企图中保护和隐藏起来，还可以阻止未授权的从系统出去的流量。一旦包通过防火墙，它将通过状态检测引擎的严格检查。CyberwallPLUS查看网络层、传输层和应用层协议，结合这三层协议的规范来校验包的结构。CyberwallPLUS使用包过滤引擎实现状态包检测，而不是利用入侵检测来实现，它在每一个通讯会话的处理中动态的打开或关闭端口。这就避免了为某些协议如MS-RPC需要开放大量的端口的情况，可以实现更为严格的安全。 功能列表：CyberwallPLUS具有Windows NT欠缺的安全保障，向系统管理员提供了保障系统安全必不可少的网络访问控制和入侵防护功能。CyberwallPLUS引入了一系列独立的Windows NT 欠缺的网络安全功能，包括：网络访问控制状态包检测基于时间的入侵检测和防护基于时间的安全策略入侵报警流量审核日志实时流量监测违反策略的事件日志集中式的管理 KFW傲盾防火墙服务器版功能简介： KFW傲盾防火墙网站防护版是一款针对各种网站，信息平台，Internet服务等，集成多种功能模块的安全平台。 本软件是具有完全知识版权的防火墙，使用了目前最先进的第三代防火墙技术DataStream Fingerprint Inspection数据流指纹检测技术，与企业级防火墙Check Point和Cisco相同，能够检测网络协议中所有层的状态，有效阻止DoS，DDoS等各种攻击，保护您的服务器免受来自Internet上的黑客和入侵者的攻击，破坏.通过最先进的企业级防火墙的技术，提供各种企业级功能，功能强大，齐全，价格低廉，是目前世界上性能价格比最高的网络防火墙产品。功能列表：1. 数据包规则过滤2. 数据流指纹检测过滤3. 数据包内容定制过滤4. 网关路由支持5. NAT功能(支持FTP PASV 和port，支持irc的ddc等动态端口模式，安装防火墙后不用设置PASV 之类的端口)6. 端口映射功能7. 流量控制 8. 采用最先进的数据流指纹技术，提供强大的DOS(拒绝服务)攻击防护，彻底防护各种已知和未知的DOS攻击.9. 流量分析监测 10. 实时访问连接监控 11. 支持dmz区的建立 12. 账号，权限管理 13. 分布式管理技术优势和特点： KFW傲盾防火墙系统是一套全面，创新，高安全性，高性能的网络安全系统.它根据系统管理者设定的安全规则(Security Rules)把守企业网络，提供强大的访问控制，状态检测，网络地址转换(Network Address Translation)，信息过滤，流量控制等功能.提供完善的安全性设置，通过高性能的网络核心进行访问控制。服务器网关防火墙 如果是上面说的第二种情况，用服务器来做网关的话，就需要一款功能强大而且能够对整个局域网实施保护的专业防火墙软件，这类软件并不多，微软的 ISA Server 2004 算是非常出色的一款代表产品：ISA Server 2004功能简介： 继ISA Server 2000之后，微软发布了最新的ISA Server 2004，不管是相对于它的前身ISA Server 2000，还是相对其他防火墙或代理服务器产品，ISA Server 2004都是一个值得赞誉的产品，现在，微软不仅仅以软件的形式提供ISA Server 2004，而且有了以硬件形式出现的第三方产品，比如HP ProLiant DL320。 当今的网络安全已成为必须重视的一个问题，微软的ISA 2004在用于小型单位或个人构建安全高效的网站时很方便适用（针对有独立的服务器而言）。ISA 2004 比 ISA 2000 的功能上改进了很多，ISA 2004 引入了多网络支持、易于使用且高度集成化的虚拟专用网络配置、已扩展且可扩展的用户和身份验证模型以及改进的管理功能。ISA 2004 提供了几种适用的网络部署方案可以很方便的解决许多网络部署问题，我们强烈推荐ISA2004，在网关上安装之后，局域网的其他电脑就不需要安装其他防火墙了，非常好用。新增功能： 1. 多网络 多网络配置：可以配置一个或多个网络，并使每个网络都与其他网络具有明确的关系。 独特的每个网络策略：使用 ISA 服务器新增的多网络功能，可以通过限制客户端（甚至组织内部的客户端）之间的通讯来防止网络受到内部和外部的安全威胁。 路由和 NAT 网络关系：可以使用 ISA 服务器并根据所需要的访问和通讯来定义网络之间的路由关系。2. 安全和防火墙策略 支持需要多个主连接的复杂协议：包括许多流媒体、语音应用程序和视频应用程序所需要的协议。 自定义的协议定义：可以控制为创建防火墙策略规则的任何协议而使用的源端口号和目标端口号。 身份验证：可以使用内置的 Windows、RADIUS、RSA SecurID 身份验证或其他名称空间对用户进行身份验证。 网络对象：可以定义网络对象，其中包括计算机、网络、网络集、地址范围、子网、计算机集和域名集。 防火墙策略规则代表有序的列表：防火墙策略规则代表有序的列表，其中连接参数将首先与列表中最上面的规则进行比较。 Outlook Web Access 发布向导：提供为 Exchange 服务器的 Outlook Web Access 创建安全套接字层 (SSL) 虚拟专用网络 (VPN) 的步骤。 FTP 支持：可以访问在其他的端口号上进行侦听的 Internet 文件传输协议 (FTP) 服务器，而不需要在客户端或 ISA 服务器计算机上进行特殊的配置。 服务器发布规则的端口重定向：可以在一个端口号上接收连接，而将请求重定向到发布的服务器上的另一个端口号。 安全的 Web 发布：可以将服务器放置在公司网络或外围网络中防火墙的后面，并安全地发布其服务。 HTTP 1.1 支持：与上游服务器连接时，ISA 服务器是 HTTP 1.1 客户端。3. 虚拟专用网络 VPN 管理：ISA 服务器包含一种完全集成的虚拟专用网络机制，该机制基于Server 2003/2000。 对 VPN 的状态筛选和检查：由于 VPN 客户端配置为独立的网络，因此可以为 VPN 客户端创建单独的策略。 Secure NAT：防火墙策略引擎有差别地检查来自 VPN 客户端的请求，对这些请求进行状态筛选和检查，并根据访问策略动态地打开连接。 通过站点到站点的 VPN 隧道进行状态筛选和检查：ISA 服务器针对通过站点到站点的 VPN 连接移动的所有通讯引入了状态筛选和检查。 VPN 隔离控制：可以在独立的网络上隔离 VPN 客户端，直到它们满足预定义的一组安全要求。 对站点到站点 VPN 链接的 IPSec 隧道模式支持：ISA 服务器通过允许将 IPSec 隧道模式用作 VPN 协议来提供站点到站点的链接支持。 VPN 监视和日志记录：可以监视 VPN 客户端和远程 VPN 网络的活动，就像监视其他任何 ISA 服务器客户端的活动一样。4. 监视 仪表板：视图汇总了有关会话、警报、服务、报告、连接性以及常规系统运行状况的监视信息。 在日志查看器中进行实时监视：可以实时地查看防火墙和 Web 代理日志。 内置日志查询（筛选）：可以使用内置的日志查询工具来查询日志文件。 会话的实时监视和筛选：可以查看所有活动的连接。 连接性验证程序：通过从 ISA 服务器计算机上使用连接验证程序定期监视与特定计算机或统一资源定位器 (URL) 的连接，可以验证连接性。 报告发布：可以配置 ISA 服务器报告任务，以便自动将报告的副本保存到本地文件夹或网络文件共享中。 记录到 MSDE 数据库：日志现在可以存储为 MSDE 格式。5. 插件 每条规则基础上的 HTTP 筛选：ISA 服务器的 HTTP 策略使得防火墙可以执行深入的 HTTP 状态检查（应用程序层筛选）。 阻止对所有可执行内容的访问：可以配置 ISA 服务器的 HTTP 策略阻止对 Windows 可执行内容的所有连接尝试（无论在资源上使用什么文件扩展名）。 将 HTTP 筛选应用于所有 ISA 服务器客户端连接：ISA 服务器可以使用 MIME Enter（对于 HTTP）或文件扩展名（对于 FTP）来阻止基于 Web 代理客户端的 HTTP 连接或 FTP 连接访问内容。 基于 HTTP 签名控制 HTTP 访问：可以创建 HTTP 签名，并将其与请求 URL、请求头、请求正文、响应头和响应正文进行比较。 强制实现从完整 Outlook MAPI 客户端的安全 Exchange RPC 连接：使用 ISA 服务器的 RPC 策略，可以阻止所有未加密的 Outlook MAPI 客户端连接。 FTP 策略：ISA 服务器的 FTP 策略可以配置为允许用户使用 FTP 进行上载和下载，或者可以限定仅允许用户使用 FTP 进行下载。 链接转换：ISA 服务器包含一项链接转换功能，以便您可以为内部计算机名称创建定义词典，使其映射为众所周知的名称。 对 IP 选项的精细控制：可以很精细地配置 IP 选项，仅允许您需要的 IP 选项，同时禁止其他所有选项。LINUX系统 在LINUX操作系统上的防火墙软件也很多，有些是商用版本的防火墙，有的则是完全免费和公开源代码的防火墙。大多数LINUX教程都提到了如何在LINUX平台中使用IPCHAINS来构筑防火墙。IPCHAINS简介： IPCHAINS 是 Linux 下的防火墙软件，其源码可以免费获得，在REDHAT、蓝点的最近几个版本中都带有该软件。IPCHAINS 被用来安装、维护、检查Linux内核的防火墙规则，完成这些只需要一个叫 IPCHAINS 的公开源码的软件包，它是由 Paul “Rusty” Russell 提供的。这个软件具备了许多商业防火墙产品的特征：允许自定义网络通信量的流向，及哪些访问者可以获准进出。IPCHAINS 有两种运行方式：代理服务器和网络地址转换器。前者接收来自受防火墙保护的网络内部机器的数据流，使用用户定义的规则对其进行过滤处理，然后发送给外部网络。主要特色： IPCHAINS 本质上是包过滤器。它检查到达网络接口的 IP 包，根据事先定义好的规则进行修改，然后再转发给其它接口。IPCHAINS 的名称来自其工作特点。它能够创建合理过滤步骤，根据用户定义的规则来处理包。这些步骤被”链接”在一起来创建包处理的完整规则体系。这个处理”链条”可以与具体的 IP 地址，或者网络地址相结合。最简单的情况下，IPCHAINS 只执行三种策略：接受、和拒绝。它能接受来自指定 IP 地址或网络的所有包，否决策略丢弃来自特定地方的所有包。拒绝策略则丢弃来自指定源头的包，并且通知该源头其请求的连接被拒绝。NAI Gauntlet简介：这是一种基于软件的防火墙，支持NT和UNIX系统，目前的最新版本是Gauntlet Firewall 2.1 for NT/UNIX。 主要特色： 作为最高类型基于应用层网关的Gauntlet防火墙，集成了NT的性能管理和易用性；应用层安全按照安全策略检查双向的通讯。具有用户透明、集成管理、强力加密和内容安全、高吞吐量的特性。可应用于Internet、企业内部网和远程访问。Gauntlet防火墙具有友好的管理界面，其基于Java或NT环境，可以运行在Web浏览器中，支持远程管理和配置，可从网络管理平台上监控和配置，如NT Server和HP OpenView。 Gauntlet还支持通过服务器、企业内部网、Internet来存取和管理SNMP设备