服务器防火墙的选择

关于服务器安全，新手最常遇到的一个问题就是：该选择哪种防火墙面对种类如此繁多的服务器防火墙，在选择的时候，是考虑厂商的知名度还是防火墙本身的性能是选择国内防火墙好还是国外防火墙该使用收费的企业级防火墙还是尝试免费的防火墙这些问题，都让人十分头痛。

不同应用环境和不同的使用需求，对防火墙性能的要求各不一样。所以要真正找到一款合适的服务器防火墙，重点便是在选择服务器防火墙的时候，认真分析自身的需求，综合考虑各种不同类型的服务器防火墙的优缺点。为了帮助新手在选择服务器防火墙的时候，能够有一个比较大概的方向，我们将介绍服务器防火墙的大致分类，以及不同类型服务器防火墙各自的优缺点。

一、按照组成结构划分，服务器防火墙的种类可以分为硬件防火墙和软件防火墙。

硬件防火墙本质上是把软件防火墙嵌入在硬件中，硬件防火墙的硬件和软件都需要单独设计，使用专用网络芯片来处理数据包，同时，采用专门的操作系统平台，从而避免通用操作系统的安全漏洞导致内网安全受到威胁。也就是说硬件防火墙是把防火墙程序做到芯片里面，由硬件执行服务器的防护功能。因为内嵌结构，因此比其他种类的防火墙速度更快，处理能力更强，性能更高。

软件防火墙，顾名思义便是装在服务器平台上的软件产品，它通过在操作系统底层工作来实现网络管理和防御功能的优化。软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。

硬件防火墙性能上优于软件防火墙，因为它有自己的专用处理器和内存，可以独立完成防范网络攻击的功能，不过价格会贵不少，更改设置也比较麻烦。而

软件防火墙是在作为网关的服务器上安装的，利用服务器的CPU和内存来实现防攻击的能力，在攻击严重的情况下可能大量占用服务器的资源，但是相对而言便宜得多，设置起来也很方便。

二、除了从结构上可以把服务器防火墙分为软件防火墙和硬件防火墙以外，还可以从技术上分为“包过滤型”、“应用代理型”和“状态监视”三类。一个防火墙的实现过程多么复杂，归根结底都是在这三种技术的基础上进行功能扩展的。

1 包过滤型

包过滤是最早使用的一种防火墙技术，它的第一代模型是静态包过滤，工作在OSI模型中的网络层上，之后发展出来的动态包过滤则是工作在OSI模型的传输层上。包过滤防火墙工作的地方就是各种基于TCP/IP协议的数据报文进出的通道，它把这网络层和传输层作为数据监控的对象，对每个数据包的头部、协议、地址、端口、类型等信息进行分析，并与预先设定好的防火墙过滤规则进行核对，一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候，这个包就会被丢弃。

基于包过滤技术的防火墙的优点是对于小型的、不太复杂的站点，比较容易实现。但是其缺点是很显著的，首先面对大型的，复杂站点包过滤的规则表很快会变得很大而且复杂，规则很难测试。随着表的增大和复杂性的增加，规则结构出现漏洞的可能性也会增加。其次是这种防火墙依赖于一个单一的部件来保护系统。如果这个部件出现了问题，或者外部用户被允许访问内部主机，则它就可以访问内部网上的任何主机。

2 应用代理型

应用代理防火墙，实际上就是一台小型的带有数据检测过滤功能的透明代理服务器，但是它并不是单纯的在一个代理设备中嵌入包过滤技术，而是一种被称为应用协议分析的新技术。应用代理防火墙能够对各层的数据进行主动的，实时的监测，能够有效地判断出各层中的非法侵入。同时，这种防火墙一般还带有分布式探测器， 能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。

应用代理型防火墙基于代理技术，通过防火墙的每个连接都必须建立在为之创建的代理程序进程上，而代理进程自身是要消耗一定时间，于是数据在通过代理防火墙时就不可避免的发生数据迟滞现象，代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高的安全性能。

3 状态监视型

这种防火墙技术通过一种被称为“状态监视”的模块，在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测，并根据各种过滤规则作出安全决策。状态监视可以对包内容进行分析，从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点，而且这种防火墙不必开放过多端口，进一步杜绝了可能因为开放端口过多而带来的安全隐患。

由于状态监视技术相当于结合了包过滤技术和应用代理技术，因此是最先进的，但是由于实现技术复杂，在实际应用中还不能做到真正的完全有效的数据安全检测，而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施。

三、主流服务器软件防火墙推荐

在选择软件防火墙的时候，应该注意软件防火墙本身的安全性及高效性。同时，要考虑软件防火墙的配置及管理的便利性。一个好的软件防火墙产品必须符合用户的实际需要，比如良好的用户交互界面，既能支持命令行方式管理、又能支持GUI和集中式管理等。以下我们推荐几款比较知名的软件防火墙供大家参考：

1 卡巴斯基软件防火墙 Anti-Hacker

这是卡巴斯基公司出品的一款非常优秀的网络安全防火墙，它和著名的杀毒软件AVP是同一个公司的产品。所有网络资料存取的动作都会经由它对用户产生提示，存取动作是否放行都由用户决定，而且可以抵挡来自于内部网络或网际网络的黑客攻击。此软件的另一特色就是病毒库更新的及时。卡巴斯基公司的病毒数据库每天更新两次，用户可根据自己的需要任意预设软件的更新频率。此款产品唯一不足的是，其无论是杀毒还是监控，都会占用较大的系统资源。

2 诺顿防火墙企业版

诺顿防火墙企业版，适用于企业服务器、电子商务平台及***环境。此款可以提供安全故障转移和最长的正常运转时间等。这款软件防火墙采用经过验证的防火墙管理维护、监测和报告来提供细致周到的周边保护，其灵活的服务能够支持任意数目的防火墙，既可以支持单个防火墙，也可以支持企业的全球范围防火墙部署。同时，软件还提供了包括 Windows NT Domain、Radius、数字认证、LDAP、S/Key、Defender、SecureID 在内的一整套强大的用户身份验证方法，使管理员可以从用户环境中灵活地选择安全数据。

3 服务器安全狗

服务器安全狗是为IDC运营商、虚拟主机服务商、企业主机、服务器管理者等用户提供服务器安全防范的实用系统。是一款集DDOS防护、ARP防护、查看网络连接、网络流量、IP过滤为一体的服务器安全防护工具。具备实时的流量监测，服务器进程连接监测，及时发现异常连接进程监测机制。同时该防火墙还具备智能的DDOS攻击防护，能够抵御 CC攻击、UDP Flood、TCP Flood、SYN Flood、ARP等类型的服务器恶意攻击。该防火墙还提供详尽的日志追踪功能，方便查找攻击来源。

4 KFW傲盾服务器版

KFW傲盾防火墙系统是一套全面、创新、高安全性、高性能的网络安全系统。它根据系统管理者设定的安全规则(Security Rules)把守企业网络，提供强大的访问控制、状态检测、网络地址转换(Network Address Translation)、信息过滤、流量控制等功能。提供完善的安全性设置，通过高性能的网络核心进行访问控制。

5 McAfee Firewall Enterprise

McAfee Firewall Enterprise 的高级功能如应用程序监控、基于信誉的全球情报、自动化的威胁更新、加密流量检测、入侵防护、病毒防护以及内容过滤等，能够及时拦截攻击使其无法得逞。

6 冰盾专业抗DDOS防火墙软件

冰盾防火墙软件具备较好的兼容性、稳定性和增强的抗DDOS能力，适用于传奇服务器、奇迹服务器、网站服务器、游戏服务器、音乐服务器、**服务器、聊天服务器、论坛服务器、电子商务服务器等多种主机服务器。该防火墙软件能够智能识别各种DDOS攻击和黑客入侵行为。在防黑客入侵方面，软件可智能识别Port扫描、Unicode恶意编码、SQL注入攻击、Trojan木马上传、Exploit漏洞利用等2000多种黑客入侵行为。

　高防服务器指的是防御能力在50G以上，这里的G是指高防的大小。例如独立单个硬防防御10G,15G，20G，25G，30G，35G，40G左右，可以为单个客户提供安全维护的;集群防御120G，300G，甚至是T级防御，可以为整个集群内部的所有服务器提供安全防护。G数越大，服务器的防御越高。

1 需要了解到企业自己网站或是APP的具体访问量，在实际运用的时候，是否能够达到要求。

在未来企业的发展上，选购的服务器能否满足网站和APP的升级。

2 安全性上也是需要考虑的。相信建设过网站的人都知道，大部分网站都遭受过来自于互联网的DDOS攻击。

3 所以在选择企业级服务器时，应该注意服务器的安全性能，特别是一些金融、游戏行业的互联网用户，它们遭受DDOS攻击的概率比普通企业站要大很多。

4 稳定性的考虑，硬盘容量是否够大，能否支持热插拔，是否有冗余电源，能不能支持RAID阵列卡等等，这一切都是企业客户在选择服务器的时候需要关心的。

5 现在很多企业级服务器都支持双电源冗余运行，这样得设计就大大提升了服务器的稳定性，至少在一个电源损坏后，还有另一个电源可以支持服务器的运行。

当然在选择企业级服务器的时候，硬件的配置需求都是必不可少的，可持续发展的服务器也应当是企业客户的首选。特别是在做数据中心搭建方案时，这些问题都要考虑进去。

系统安全：

1设置较为复杂的主机密码，建议8位数以上，大小写混合带数字、特殊字符，不要使用123456、password等弱口令。

2开启系统自动更新功能，定期给系统打补丁。

3windows主机安装安全狗、360主机卫士等防入侵的产品。

4做好网站的注入漏洞检查，做好网站目录访问权限控制。(建议将网站设置为只读状态，对需要上传附件等目录单独开通写权限功能，对上传文件目录设置为禁止脚本执行权限)

5如果用于网站服务，建议安装我们预装“网站管理助手”的操作系统模板，该系统我们做过安全加固，比纯净版要更安全。新建网站强烈建议用网站管理助手创建，本系统创建的网站会相互隔离，避免一个网站被入侵就导致其他网站也受影响。

6关闭不需要的服务，如server,worksation等服务一般用不上，建议禁用。

7启用TCP/IP筛选功能,关闭危险端口,防止远程扫描、蠕虫和溢出攻击。 比如mssql数据库的1433端口，一般用不上远程连接的话，建议封掉，只允许本机连接。

8如果自己安装数据库，建议修改为普通用户运行，默认是system权限运行的，非常不安全。查看帮助

9如果是自主安装纯净版的系统，建议修改掉3389、22等默认端口，用其他非标准端口可以减少被黑的几率。

问题一：360的局域网防护有必要开启吗 你好很荣幸回答你的问题原创回答拒绝抄袭

你这个属于典型的ARP欺骗方式的攻击，这个一般是内外网有ARP病毒导致的可能性比较大，一般会有两种欺骗形式：

一、伪装例如：192。1681（2-255）之间的IP不断的伪装不同的IP来攻击导致网速变慢，IP冲突。

二、伪装成网关IP如：19216811前一种还好一点，后边的ARP病毒是变异的一种比较难对付。

不过无论哪一种，你的解决方法有两种：一种是开启360ARP防火墙，但是最佳效果是你所在的内外都开启360ARP防火墙。另一种是在路由里取消DHCP然后在路由里把所有机器的MAC地址绑定，这个也是非常有效的办法之一，因为不是所有内网的机器一定都安装了360，所以这种方法是非常适合你们的。

开启之后是可以解决问题但要弗部内网机器全都开启才不会有什么影响，网速方面不会变慢，而且还会稳定的多。

总之祝你成功祝顺利！有问题请追问，有帮助望采纳。

问题二：个人电脑需要开启局域网防护不 一般情况下不用， 局域网攻击是比如你在大公司，公司用的局域网，你的电脑有公司机密，偷窃人员通过局域网公司可以窃取你的信息，你的个人电脑不存在局域网漏洞风险，完全放心，根本没必要开。

如果联网， 建议打开360卫视即可。

问题三：自己家里的电脑需要开启局域网防护吗 我是用无线的 还有局域网是什么开启后和不开启后怎么样 不用开的。局域网就是把一定范围内的电脑通过网络连接起来，这个范围可以是一个办公室、一栋办公楼。你的情况不用开启的，开不开也没什么区别。

问题四：家庭网络需要打开局域网防护吗？ 打开吧，只怕其中一台会被利用攻击，打开没有什么的

问题五：需要开启局域网防护和防蹭网吗？ 只要密码不是简单和纯数字 就不用开，破解难度大。

问题六：局域网防护（ARP）是什么？需要开启吗 局域网防护（ARP）是360一项防护功能，先了解ARP是什么：ARP病毒并不是某一种病毒的名称，而是对利用ARP协议的漏洞进行传播的一类病毒的总称。ARP病毒并不是某一种病毒的名称，而是对利用ARP协议的漏洞进行传播的一类病毒的总称。当局域网内有某台电脑运行了此类ARP欺骗的木马的时候，其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。 现象是网关欺骗00-00-00-00-00用户会断网，现象不重的会很卡。360的ARP防护功能，是保护局域网的、如果你是ADSL拨号或者有线用户的话/就不用看起此功能。

问题七：请问家庭用户需不需要开启360局域网ARP防护呢如果开启会对电脑系统产生影响吗谢谢 你好朋友如果是家庭单台机上网的话是不需要开启360安全卫士木马防火墙里的局域网防护的（arp防护），即使开启也举影响系统运行和上网速度。

问题八：家庭电脑需要开局域网防护吗 如果只有你自己一家上网，不是局域网的话 没必要开启ARP防火墙 ARP欺骗是对于局域网才有用的 是局域网 也就是你家不光有调制解调器（modem俗称猫） 还有一个路由器 分出好几个线 到别人家 那就得开了 因为那是代理 黑客通过ARP欺骗截获你的信息 欺骗你的路由器把黑客自己的电脑作为服务器 那样很不安全啊 所以 局域网用户一定要开启360的ARP防火墙

问题九：我用的网线 用不用开启局域网防护？ 有线和无线都在一个局域网中

问题十：家庭用户（只有一台电脑）需要开启局域网防护吗？ 安装 杀毒软件 清理软件 还是必要的

首先，用户要去尝试了解攻击来自于何处，原因是黑客在攻击时所调用的IP地址并不一定是真实的，一旦掌握了真实的地址段，可以找到相应的码段进行隔离，或者临时过滤。同时，如果连接核心网的端口数量有限，也可以将端口进行屏蔽。

相较被攻击之后的疲于应对，有完善的安全机制无疑要更好。有些人可能会选择大规模部署网络基础设施，但这种办法只能拖延黑客的攻击进度，并不能解决问题。与之相比的话，还不如去“屏蔽”那些区域性或者说临时性的地址段，减少受攻击的风险面。

此外，还可以在骨干网、核心网的节点设置防护墙，这样在遇到大规模攻击时，可以让主机减少被直接攻击的可能。考虑到核心节点的带宽通常较高，容易成为黑客重点攻击的位置，所以定期扫描现有的主节点，发现可能导致风险的漏洞，就变得非常重要。