本文爲大家介紹一下目前比較適合服務器使用的防火牆軟件。首先要說明的是,服務器一般會有兩種使用方式,一種是託管的服務器,或者是在IDC租用的服務器,此時需要的是單機防火牆;另外一種是公司學校的局域網服務器,這種一般是作爲網絡出口的橋頭堡,保護整個局域網的安全,這時要使用專門的網關防火牆。
另外,不同的操作系統使用的防火牆肯定也是相去甚遠的,目前主流的操作系統當然就是WINDOWS和Linux,下面我們按照兩類操作系統對幾款比較值得推薦的防火牆軟件進行介紹:
WINDOWS系統 |
服務器單機防火牆
目前流行的WINDOWS單機防火牆有很多,如sygate
personal firewall pro、blackice server edition、zone
alarm、norton personal firewall、Panda
Platinum Internet Security、NetPatrol、Tiny
Firewall Pro、Agnitum Outpost Firewall Pro、McAfee
Personal Firewall、kerio server firewall、kerio
personal firewall等等。
sygate personal firewall pro、netpatrol和Tiny
Firewall Pro由於功能過於強大,在使用的時候必須先在服務器上進行合理的預配置,否則用戶可能會無法通過網絡來訪問你的服務器;PandaPlatinum Internet Security、McAfeePersonal
Firewall和nortonpersonal firewall中,norton是最差勁的,不過它們都屬於比較龐大的防火牆,耗費的系統資源較大,不推薦;kerio
personalfirewall、zonealarm和AgnitumOutpost
Firewall Pro都更適合個人使用,做服務器防火牆不好;kerioserver firewall是基於B/S來控制的,這點或許有它的好處,但是使用起來感覺不如其他的方便。剩下就是blackiceserver
edition了,它算設計比較優秀的防火牆軟件,不過有個不足就是應用層過濾都相對比較簡單,和一般的包過濾沒有多少區別(其他的防火牆功能都差不多,都不夠強大,除了sygatepersonal firewall pro、netpatrol和Tiny
Firewall Pro)。
國內也有一些開發商推出了專門的服務器防火牆軟件,雖然不少是由家庭版、個人版升級改裝而來,例如大名鼎鼎的天網實驗室開發的天網防火牆服務器版,不過由於其個人版使用的過濾監控機制本身就比較優秀而且易使用,所以適當改裝之後也還是很適合服務器單機應用,最主要的當然還是這些軟件採用中文界面,對一些英文不是很強的管理人員來說使用起來還是更親切一些。
從使用者的角度出發,下面幾款單機版防火牆比較適合於擁有IDC服務器的用戶:
BlackICEServer Protection
功能簡介:
BlackICEServer Protection 是ISS 安全公司出品的一款著名的入侵檢測系統,擁有強大的檢測,分析以及防護功能,而且很容易使用,可以偵察出誰在掃你的端口,在它們進攻我們的電腦之前攔截,保護我們的電腦不受欺害,可以收集入欺者的IP地址、計算機名-網絡系統地址、硬件地址-MAC地址,有日誌供我們查看!作爲服務器網絡防火牆來說,絕對是你的首選!
BlackICE軟件曾經獲得PC Magazine
的技術卓越大獎,專家對它的評語是:“對於沒有防火牆的家庭用戶來說,BlackICE是一道不可缺少的防線;而對於企業網絡,它又增加了一層保護措施--它並不是要取代防火牆,而是阻止企圖穿過防火牆的入侵者。BlackICE集成有非常強大的檢測和分析引擎,可以識別200
多種入侵技巧,給你全面的網絡檢測以及系統防護,它還能即時監測網絡端口和協議,攔截所有可疑的網絡入侵,無論黑客如何費盡心機也無法危害到你的系統。而且它還可以將查明那些試圖入侵的黑客的NetBIOS(WINS)名、DNS名或是他目前所使用的IP地址記錄下來,以便你採取進一步行動。封言用過後感覺,該軟件的靈敏度和準確率非常高,穩定性也相當出色,系統資源佔用率極少,是每一位上網朋友的最佳選擇。
新增功能:
1. 在設置中增加了應用程序與通信控制的功能條
2. 可控制應用程序是否在電腦上執行
3. 可控制哪些應用程序能與Internet通訊
4. 掃描你的系統,檢測所有的系統設置改變
5. 可在事件列表中記錄新軟件與新通訊事件的發生情況
6. 可以有效預防DDos攻擊,私服和服務器的首選軟件防火牆
CyberwallPLUS-SV
功能簡介:
CyberwallPLUS是美國網屹公司(網屹公司的產品主要定位於企業網內部網絡的安全防範)開發的一套先進的包過濾防火牆產品系列。它具有分佈式、主機駐留的體系機構,代表着新一代防火牆的技術潮流。它可以在網絡邊界、網絡內部、服務器和客戶端等任何網絡結合處設置屏障,同時監測多種網絡通信協議,並可實現集中管理,從而形成了一個多層次、多措施、內外統一防範的立體安全體系。
CyberwallPlus系列防火牆包括CyberwallPlus主機防火牆、CyberwallPlus-AP保護內部網絡防火牆、
CyberwallPlus-IP包過濾防火牆三種產品,其中CyberwallPlus又包含CyberwallPlus-WS工作站防火牆和
CyberwallPlus-SV服務器防火牆兩個類別。Cyberwall PLUS-SV是世界上用於Windows
NT/2000服務器最優秀的防火牆,對於在“electronically open”組織中管理Windows
NT/2000服務器的管理員來說是必不可少的工具,幫助用戶的信息服務器和應用服務器抵禦網絡的攻擊和入侵。
網屹的CyberwallPLUS-SV主機入侵防護系統從兩方面來防止攻擊。它應用特定規則增強服務器的安全,進行全面的集中管理。雙向的過濾對服務器提供了雙重保護,使它不能成爲特洛伊木馬和其它隱藏代碼攻擊的發射臺。該產品也是一種包過濾防火牆,提供了靈活、細緻的網絡訪問控制,管理員可以精確地定義哪些網絡協議和地址被允許進入系統。這些控制將系統從未授權訪問和入侵企圖中保護和隱藏起來,還可以阻止未授權的從系統出去的流量。一旦包通過防火牆,它將通過狀態檢測引擎的嚴格檢查。CyberwallPLUS查看網絡層、傳輸層和應用層協議,結合這三層協議的規範來校驗包的結構。CyberwallPLUS使用包過濾引擎實現狀態包檢測,而不是利用入侵檢測來實現,它在每一個通訊會話的處理中動態的打開或關閉端口。這就避免了爲某些協議如MS-RPC需要開放大量的端口的情況,可以實現更爲嚴格的安全。
功能列表:
CyberwallPLUS具有Windows NT欠缺的安全保障,向系統管理員提供了保障系統安全必不可少的網絡訪問控制和入侵防護功能。
CyberwallPLUS引入了一系列獨立的WindowsNT
欠缺的網絡安全功能,包括:
網絡訪問控制
狀態包檢測
基於時間的入侵檢測和防護
基於時間的安全策略
入侵報警
流量審覈日誌
實時流量監測
違反策略的事件日誌
集中式的管理
KFW傲盾防火牆服務器版
功能簡介:
KFW傲盾防火牆網站防護版是一款針對各種網站,信息平臺,Internet服務等,集成多種功能模塊的安全平臺。
本軟件是具有完全知識版權的防火牆,使用了目前最先進的第三代防火牆技術《DataStreamFingerprint Inspection》數據流指紋檢測技術,與企業級防火牆CheckPoint和Cisco相同,能夠檢測網絡協議中所有層的狀態,有效阻止DoS,DDoS等各種攻擊,保護您的服務器免受來自Internet上的黑客和入侵者的攻擊,破壞.通過最先進的企業級防火牆的技術,提供各種企業級功能,功能強大,齊全,價格低廉,是目前世界上性能價格比最高的網絡防火牆產品。
功能列表:
1. 數據包規則過濾
2. 數據流指紋檢測過濾
3. 數據包內容定製過濾
4. 網關路由支持
5. NAT功能(支持FTP
PASV 和port,支持irc的ddc等動態端口模式,安裝防火牆後不用設置PASV
之類的端口)
6. 端口映射功能
7. 流量控制
8. 採用最先進的數據流指紋技術,提供強大的DOS(拒絕服務)攻擊防護,徹底防護各種已知和未知的DOS攻擊.
9. 流量分析監測
10. 實時訪問連接監控
11. 支持dmz區的建立
12. 賬號,權限管理
13. 分佈式管理
技術優勢和特點:
KFW傲盾防火牆系統是一套全面,創新,高安全性,高性能的網絡安全系統.它根據系統管理者設定的安全規則(Security
Rules)把守企業網絡,提供強大的訪問控制,狀態檢測,網絡地址轉換(NetworkAddress Translation),信息過濾,流量控制等功能.提供完善的安全性設置,通過高性能的網絡核心進行訪問控制。
服務器網關防火牆
如果是上面說的第二種情況,用服務器來做網關的話,就需要一款功能強大而且能夠對整個局域網實施保護的專業防火牆軟件,這類軟件並不多,微軟的ISA Server 2004 算是非常出色的一款代表產品:
ISAServer 2004
功能簡介:
繼ISA Server 2000之後,微軟發佈了最新的ISA Server 2004,不管是相對於它的前身ISA Server 2000,還是相對其他防火牆或代理服務器產品,ISA Server 2004都是一個值得讚譽的產品,現在,微軟不僅僅以軟件的形式提供ISA Server2004,而且有了以硬件形式出現的第三方產品,比如HPProLiant DL320。
當今的網絡安全已成爲必須重視的一個問題,微軟的ISA 2004在用於小型單位或個人構建安全高效的網站時很方便適用(針對有獨立的服務器而言)。ISA 2004 比 ISA 2000 的功能上改進了很多,ISA 2004 引入了多網絡支持、易於使用且高度集成化的虛擬專用網絡配置、已擴展且可擴展的用戶和身份驗證模型以及改進的管理功能。ISA2004 提供了幾種適用的網絡部署方案可以很方便的解決許多網絡部署問題,我們強烈推薦ISA2004,在網關上安裝之後,局域網的其他電腦就不需要安裝其他防火牆了,非常好用。
新增功能:
1. 多網絡
多網絡配置:可以配置一個或多個網絡,並使每個網絡都與其他網絡具有明確的關係。
獨特的每個網絡策略:使用ISA
服務器新增的多網絡功能,可以通過限制客戶端(甚至組織內部的客戶端)之間的通訊來防止網絡受到內部和外部的安全威脅。
路由和 NAT
網絡關係:可以使用 ISA
服務器並根據所需要的訪問和通訊來定義網絡之間的路由關係。
2.
安全和防火牆策略
支持需要多個主連接的複雜協議:包括許多流媒體、語音應用程序和視頻應用程序所需要的協議。
自定義的協議定義:可以控制爲創建防火牆策略規則的任何協議而使用的源端口號和目標端口號。
身份驗證:可以使用內置的Windows、RADIUS、RSA
SecurID 身份驗證或其他名稱空間對用戶進行身份驗證。
網絡對象:可以定義網絡對象,其中包括計算機、網絡、網絡集、地址範圍、子網、計算機集和域名集。
防火牆策略規則代表有序的列表:防火牆策略規則代表有序的列表,其中連接參數將首先與列表中最上面的規則進行比較。
Outlook Web Access 發佈嚮導:提供爲Exchange
服務器的Outlook Web Access
創建安全套接字層(SSL)
虛擬專用網絡(VPN)
的步驟。
FTP 支持:可以訪問在其他的端口號上進行偵聽的Internet
文件傳輸協議(FTP)
服務器,,而不需要在客戶端或ISA
服務器計算機上進行特殊的配置。
服務器發佈規則的端口重定向:可以在一個端口號上接收連接,而將請求重定向到發佈的服務器上的另一個端口號。
安全的 Web
發佈:可以將服務器放置在公司網絡或外圍網絡中防火牆的後面,並安全地發佈其服務。
HTTP 1.1 支持:與上游服務器連接時,ISA服務器是
HTTP 1.1 客戶端。
3. 虛擬專用網絡
VPN 管理:ISA
服務器包含一種完全集成的虛擬專用網絡機制,該機制基於Server2003/2000。
對 VPN
的狀態篩選和檢查:由於 VPN
客戶端配置爲獨立的網絡,因此可以爲 VPN
客戶端創建單獨的策略。
Secure NAT:防火牆策略引擎有差別地檢查來自VPN
客戶端的請求,對這些請求進行狀態篩選和檢查,並根據訪問策略動態地打開連接。
通過站點到站點的VPN
隧道進行狀態篩選和檢查:ISA服務器針對通過站點到站點的VPN
連接移動的所有通訊引入了狀態篩選和檢查。
VPN 隔離控制:可以在獨立的網絡上隔離VPN
客戶端,直到它們滿足預定義的一組安全要求。
對站點到站點 VPN
鏈接的 IPSec
隧道模式支持:ISA
服務器通過允許將 IPSec
隧道模式用作 VPN
協議來提供站點到站點的鏈接支持。
VPN 監視和日誌記錄:可以監視VPN
客戶端和遠程 VPN
網絡的活動,就像監視其他任何 ISA
服務器客戶端的活動一樣。
4. 監視
儀表板:視圖彙總了有關會話、警報、服務、報告、連接性以及常規系統運行狀況的監視信息。
在日誌查看器中進行實時監視:可以實時地查看防火牆和Web
代理日誌。
內置日誌查詢(篩選):可以使用內置的日誌查詢工具來查詢日誌文件。
會話的實時監視和篩選:可以查看所有活動的連接。
連接性驗證程序:通過從ISA
服務器計算機上使用連接驗證程序定期監視與特定計算機或統一資源定位器(URL)
的連接,可以驗證連接性。
報告發布:可以配置ISA
服務器報告任務,以便自動將報告的副本保存到本地文件夾或網絡文件共享中。
記錄到 MSDE
數據庫:日誌現在可以存儲爲 MSDE
格式。
5. 插件
每條規則基礎上的HTTP
篩選:ISA
服務器的 HTTP
策略使得防火牆可以執行深入的 HTTP
狀態檢查(應用程序層篩選)。
阻止對所有可執行內容的訪問:可以配置ISA
服務器的 HTTP
策略阻止對 Windows
可執行內容的所有連接嘗試(無論在資源上使用什麼文件擴展名)。
將 HTTP
篩選應用於所有 ISA
服務器客戶端連接:ISA
服務器可以使用 MIME Enter(對於 HTTP)或文件擴展名(對於
FTP)來阻止基於 Web
代理客戶端的 HTTP
連接或 FTP
連接訪問內容。
基於 HTTP
簽名控制 HTTP
訪問:可以創建 HTTP
簽名,並將其與請求 URL、請求頭、請求正文、響應頭和響應正文進行比較。
強制實現從完整 Outlook MAPI
客戶端的安全 Exchange RPC
連接:使用 ISA
服務器的 RPC
策略,可以阻止所有未加密的 Outlook MAPI
客戶端連接。
FTP 策略:ISA
服務器的 FTP
策略可以配置爲允許用戶使用 FTP
進行上載和下載,或者可以限定僅允許用戶使用 FTP
進行下載。
鏈接轉換:ISA
服務器包含一項鍊接轉換功能,以便您可以爲內部計算機名稱創建定義詞典,使其映射爲衆所周知的名稱。
對 IP
選項的精細控制:可以很精細地配置 IP
選項,僅允許您需要的 IP
選項,同時禁止其他所有選項。
LINUX系統 |
在LINUX操作系統上的防火牆軟件也很多,有些是商用版本的防火牆,有的則是完全免費和公開源代碼的防火牆。大多數LINUX教程都提到了如何在LINUX平臺中使用IPCHAINS來構築防火牆。
IPCHAINS
簡介:
IPCHAINS是 Linux 下的防火牆軟件,其源碼可以免費獲得,在REDHAT、藍點的最近幾個版本中都帶有該軟件。IPCHAINS 被用來安裝、維護、檢查Linux內核的防火牆規則,完成這些只需要一個叫 IPCHAINS 的公開源碼的軟件包,它是由 Paul “Rusty” Russell 提供的。這個軟件具備了許多商業防火牆產品的特徵:允許自定義網絡通信量的流向,及哪些訪問者可以獲准進出。IPCHAINS有兩種運行方式:代理服務器和網絡地址轉換器。前者接收來自受防火牆保護的網絡內部機器的數據流,使用用戶定義的規則對其進行過濾處理,然後發送給外部網絡。
主要特色:
IPCHAINS本質上是包過濾器。它檢查到達網絡接口的 IP包,根據事先定義好的規則進行修改,然後再轉發給其它接口。IPCHAINS的名稱來自其工作特點。它能夠創建合理過濾步驟,根據用戶定義的規則來處理包。這些步驟被”鏈接”在一起來創建包處理的完整規則體系。這個處理”鏈條”可以與具體的 IP地址,或者網絡地址相結合。最簡單的情況下,IPCHAINS只執行三種策略:接受、和拒絕。它能接受來自指定 IP地址或網絡的所有包,否決策略丟棄來自特定地方的所有包。拒絕策略則丟棄來自指定源頭的包,並且通知該源頭其請求的連接被拒絕。
NAIGauntlet
簡介:
這是一種基於軟件的防火牆,支持NT和UNIX系統,目前的最新版本是Gauntlet
Firewall 2.1 for NT/UNIX。
主要特色:
作爲最高類型——基於應用層網關的Gauntlet防火牆,集成了NT的性能管理和易用性;應用層安全按照安全策略檢查雙向的通訊。具有用戶透明、集成管理、強力加密和內容安全、高吞吐量的特性。可應用於Internet、企業內部網和遠程訪問。Gauntlet防火牆具有友好的管理界面,其基於Java
或NT環境,可以運行在Web瀏覽器中,支持遠程管理和配置,可從網絡管理平臺上監控和配置,如NT
Server和HP OpenView。 Gauntlet還支持通過服務器、企業內部網、Internet來存取和管理SNMP設備。Gauntlet防火牆支持流行的多媒體實時服務,如
Real Audio/Video、Microsoft NetShow、VDOlive。
Gauntlet防火牆支持衆多的標準協議如終端服務(TELNET、rlogin)、文件傳送(FTP)、電子郵件(SMTP、P0P3)、WWW
(HTTP、SHTTP、SSL、Gopher)、Usenet新聞(NNTP)、域名服務(DNS)、簡單網絡管理協議(SNMP)、Oracle
SQL*Net、RealAudio/Video
、Xing、NetShow、VDOLive、LDAP、PPTP。
Firestarter
簡介:
Firestarter防火牆是一款非常優秀的基於GUI圖形用戶界面下的,完全免費的自由軟件,它爲中小型Linux網絡的系統管理員提供了良好的安全服務,適用於單機工作站、服務器、小型網絡服務器和家用Llnux系統平臺的安全防護,它能勝任在Linux下一般的系統安全任務。
主要特色:
它的使用簡單但功能強大:如果你的Linux系統中安裝的聲卡、並且在Firestarter中進行了配置,那麼在遭到系統入侵時它還會發出報警鈴聲。 Firestarter運行時只佔用很少的系統資源,它爲Linux平臺提供了快捷有效的安全防護功能。並且在系統出現異常情況的時候能及時的向管理員通知及相關信息、以幫助系統管理員及時的對系統作出相應的處理和反應。Firestarter防火牆在程序運行後在系統桌面的任務條菜單處,易於迅速的啓動和關閉網絡中指定的計算機。Firestarter的安裝十分容易,有安裝嚮導引導,即使是Linux軟件不熟悉的用戶也能通過嚮導輕鬆完成防火牆的安裝和設置。另外,Firestarter的README文件裏面的註釋非常清楚,方便了用戶的修改和重新定義某些參數。就像Firestarter的開發者Tomas Jounonen所說的它是一個“All-in-one”的Linux防火牆。