服务器防火墙的选择

关于服务器安全，新手最常遇到的一个问题就是：该选择哪种防火墙面对种类如此繁多的服务器防火墙，在选择的时候，是考虑厂商的知名度还是防火墙本身的性能是选择国内防火墙好还是国外防火墙该使用收费的企业级防火墙还是尝试免费的防火墙这些问题，都让人十分头痛。

不同应用环境和不同的使用需求，对防火墙性能的要求各不一样。所以要真正找到一款合适的服务器防火墙，重点便是在选择服务器防火墙的时候，认真分析自身的需求，综合考虑各种不同类型的服务器防火墙的优缺点。为了帮助新手在选择服务器防火墙的时候，能够有一个比较大概的方向，我们将介绍服务器防火墙的大致分类，以及不同类型服务器防火墙各自的优缺点。

一、按照组成结构划分，服务器防火墙的种类可以分为硬件防火墙和软件防火墙。

硬件防火墙本质上是把软件防火墙嵌入在硬件中，硬件防火墙的硬件和软件都需要单独设计，使用专用网络芯片来处理数据包，同时，采用专门的操作系统平台，从而避免通用操作系统的安全漏洞导致内网安全受到威胁。也就是说硬件防火墙是把防火墙程序做到芯片里面，由硬件执行服务器的防护功能。因为内嵌结构，因此比其他种类的防火墙速度更快，处理能力更强，性能更高。

软件防火墙，顾名思义便是装在服务器平台上的软件产品，它通过在操作系统底层工作来实现网络管理和防御功能的优化。软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。

硬件防火墙性能上优于软件防火墙，因为它有自己的专用处理器和内存，可以独立完成防范网络攻击的功能，不过价格会贵不少，更改设置也比较麻烦。而

软件防火墙是在作为网关的服务器上安装的，利用服务器的CPU和内存来实现防攻击的能力，在攻击严重的情况下可能大量占用服务器的资源，但是相对而言便宜得多，设置起来也很方便。

二、除了从结构上可以把服务器防火墙分为软件防火墙和硬件防火墙以外，还可以从技术上分为“包过滤型”、“应用代理型”和“状态监视”三类。一个防火墙的实现过程多么复杂，归根结底都是在这三种技术的基础上进行功能扩展的。

1 包过滤型

包过滤是最早使用的一种防火墙技术，它的第一代模型是静态包过滤，工作在OSI模型中的网络层上，之后发展出来的动态包过滤则是工作在OSI模型的传输层上。包过滤防火墙工作的地方就是各种基于TCP/IP协议的数据报文进出的通道，它把这网络层和传输层作为数据监控的对象，对每个数据包的头部、协议、地址、端口、类型等信息进行分析，并与预先设定好的防火墙过滤规则进行核对，一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候，这个包就会被丢弃。

基于包过滤技术的防火墙的优点是对于小型的、不太复杂的站点，比较容易实现。但是其缺点是很显著的，首先面对大型的，复杂站点包过滤的规则表很快会变得很大而且复杂，规则很难测试。随着表的增大和复杂性的增加，规则结构出现漏洞的可能性也会增加。其次是这种防火墙依赖于一个单一的部件来保护系统。如果这个部件出现了问题，或者外部用户被允许访问内部主机，则它就可以访问内部网上的任何主机。

2 应用代理型

应用代理防火墙，实际上就是一台小型的带有数据检测过滤功能的透明代理服务器，但是它并不是单纯的在一个代理设备中嵌入包过滤技术，而是一种被称为应用协议分析的新技术。应用代理防火墙能够对各层的数据进行主动的，实时的监测，能够有效地判断出各层中的非法侵入。同时，这种防火墙一般还带有分布式探测器， 能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。

应用代理型防火墙基于代理技术，通过防火墙的每个连接都必须建立在为之创建的代理程序进程上，而代理进程自身是要消耗一定时间，于是数据在通过代理防火墙时就不可避免的发生数据迟滞现象，代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高的安全性能。

3 状态监视型

这种防火墙技术通过一种被称为“状态监视”的模块，在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测，并根据各种过滤规则作出安全决策。状态监视可以对包内容进行分析，从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点，而且这种防火墙不必开放过多端口，进一步杜绝了可能因为开放端口过多而带来的安全隐患。

由于状态监视技术相当于结合了包过滤技术和应用代理技术，因此是最先进的，但是由于实现技术复杂，在实际应用中还不能做到真正的完全有效的数据安全检测，而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施。

三、主流服务器软件防火墙推荐

在选择软件防火墙的时候，应该注意软件防火墙本身的安全性及高效性。同时，要考虑软件防火墙的配置及管理的便利性。一个好的软件防火墙产品必须符合用户的实际需要，比如良好的用户交互界面，既能支持命令行方式管理、又能支持GUI和集中式管理等。以下我们推荐几款比较知名的软件防火墙供大家参考：

1 卡巴斯基软件防火墙 Anti-Hacker

这是卡巴斯基公司出品的一款非常优秀的网络安全防火墙，它和著名的杀毒软件AVP是同一个公司的产品。所有网络资料存取的动作都会经由它对用户产生提示，存取动作是否放行都由用户决定，而且可以抵挡来自于内部网络或网际网络的黑客攻击。此软件的另一特色就是病毒库更新的及时。卡巴斯基公司的病毒数据库每天更新两次，用户可根据自己的需要任意预设软件的更新频率。此款产品唯一不足的是，其无论是杀毒还是监控，都会占用较大的系统资源。

2 诺顿防火墙企业版

诺顿防火墙企业版，适用于企业服务器、电子商务平台及***环境。此款可以提供安全故障转移和最长的正常运转时间等。这款软件防火墙采用经过验证的防火墙管理维护、监测和报告来提供细致周到的周边保护，其灵活的服务能够支持任意数目的防火墙，既可以支持单个防火墙，也可以支持企业的全球范围防火墙部署。同时，软件还提供了包括 Windows NT Domain、Radius、数字认证、LDAP、S/Key、Defender、SecureID 在内的一整套强大的用户身份验证方法，使管理员可以从用户环境中灵活地选择安全数据。

3 服务器安全狗

服务器安全狗是为IDC运营商、虚拟主机服务商、企业主机、服务器管理者等用户提供服务器安全防范的实用系统。是一款集DDOS防护、ARP防护、查看网络连接、网络流量、IP过滤为一体的服务器安全防护工具。具备实时的流量监测，服务器进程连接监测，及时发现异常连接进程监测机制。同时该防火墙还具备智能的DDOS攻击防护，能够抵御 CC攻击、UDP Flood、TCP Flood、SYN Flood、ARP等类型的服务器恶意攻击。该防火墙还提供详尽的日志追踪功能，方便查找攻击来源。

4 KFW傲盾服务器版

KFW傲盾防火墙系统是一套全面、创新、高安全性、高性能的网络安全系统。它根据系统管理者设定的安全规则(Security Rules)把守企业网络，提供强大的访问控制、状态检测、网络地址转换(Network Address Translation)、信息过滤、流量控制等功能。提供完善的安全性设置，通过高性能的网络核心进行访问控制。

5 McAfee Firewall Enterprise

McAfee Firewall Enterprise 的高级功能如应用程序监控、基于信誉的全球情报、自动化的威胁更新、加密流量检测、入侵防护、病毒防护以及内容过滤等，能够及时拦截攻击使其无法得逞。

6 冰盾专业抗DDOS防火墙软件

冰盾防火墙软件具备较好的兼容性、稳定性和增强的抗DDOS能力，适用于传奇服务器、奇迹服务器、网站服务器、游戏服务器、音乐服务器、**服务器、聊天服务器、论坛服务器、电子商务服务器等多种主机服务器。该防火墙软件能够智能识别各种DDOS攻击和黑客入侵行为。在防黑客入侵方面，软件可智能识别Port扫描、Unicode恶意编码、SQL注入攻击、Trojan木马上传、Exploit漏洞利用等2000多种黑客入侵行为。

防火墙的作用是：

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

服务器用什么防火墙？

随着数字化时代的到来，服务器已成为现代商业活动的核心。随之而来的网络安全问题也变得愈加严重。为了保护服务器的安全性，防火墙成为不可或缺的一部分。那么，服务器用什么防火墙呢？在本文中，我们将为大家一一介绍。

硬件防火墙

硬件防火墙是指通过硬件设备来保护服务器安全的防火墙。它通常会安装在服务器之前，拦截非法的访问和攻击，确保服务器的安全可靠。

硬件防火墙的优点是易于安装和维护，通常不需要太多的系统知识。它还具有高效的处理能力，可以承受较大的网络访问负载。此外，它具有高度的稳定性和可靠性，一旦发生故障，它会自动切换到备份设备或切断网络连接，从而确保服务器的可用性。

然而，硬件防火墙的缺点是价格较高。对于小型企业或个人用户而言，可能无法承受这种设备的成本。

软件防火墙

软件防火墙是通过软件程序来保护服务器安全的防火墙。它通常会安装在服务器本身上，对进入或离开服务器的数据流进行监控和过滤。

软件防火墙的优点是相对于硬件防火墙而言，价格更为实惠。此外，它比硬件防火墙更易于定制和调节，可以根据需要进行灵活配置，适应各种不同的网络环境。

然而，软件防火墙的缺点是它可能会影响服务器的性能，导致运行缓慢。此外，由于软件防火墙运行在服务器本身上，所以如果服务器被攻击，软件防火墙可能会被瘫痪，从而无法起到保护作用。

网络防火墙

网络防火墙是在网络层面上对进入或离开服务器的数据进行监控和过滤的防火墙。它通常会设置在网络接入点处，控制网络流量的进出。

网络防火墙的优点是它可以对整个网络进行保护，而不仅是单个服务器。它还可以检测和防御大规模的分布式拒绝服务（DDoS）攻击，并防止内部网络被黑客入侵。此外，它还可以对流经网络的数据进行深度包检测，确保网络的安全性。

然而，网络防火墙的缺点是它可能会导致网络延迟和吞吐量降低，从而影响网络性能。此外，网络防火墙通常需要高度熟练的技术人员进行配置和维护，对于小型企业或个人用户来说，可能比较复杂。

总结

在选择服务器防火墙时，您应该根据您的需求和预算来选择合适的类型。硬件防火墙适合大型企业和高端用户，软件防火墙适合中小型企业和个人用户，而网络防火墙适合需要对整个网络进行保护的用户。希望本文能够为您提供一些有用的参考，让您的服务器更加安全可靠。

最新2006世界个人防火墙排名

官方网站：http://personal-firewall-software-reviewtoptenreviewscom/

Personal Firewall Software Reviews 2006 Listed in order of rating

#1 ZoneAlarm Pro

#2 Outpost Firewall Pro

#3 Norton Personal Firewall

#4 Norman Personal Firewall

#5 SurfSecret Personal Firewall

#6 McAfee Personal Firewall Plus

#7 BullGuard

#8 Sygate Personal Firewall Pro

#9 Injoy Firewall

#10 BlackICE PC Protection

#11 Personal Firewall Pro

#12 Kaspersky Anti-Hacker

#13 F-Secure Internet Security

#14 PC-cillin Internet Security

#15 Armor2net

#16 Tiny Firewall

#17 Privatefirewall

#18 Freedom Firewall

NA NetBarrier NA CheckIt Firewall

可惜 ZoneAlarm Pro 还是不能通过refer test 测试！浏览网站时候会被发送一些个人信息！

个人还是首推：#1 ZoneAlarm Pro 、#2 Outpost Firewall Pro

系统好的就用#3 Norton Personal Firewall 。

转贴一篇在龙族里面转贴的文章吧，写的很好。

另外一个大家关心的问题就是装了杀毒软件是否还要加装防火墙的问题，哪款防火墙最好等等！呵呵，其实个人感觉XP SP2自带的防火墙也已经蛮不错了，够用了。如果大家真的有要求的话，我个人认为可以这么做:

1，如果你选择安装的是F-SECURE client security的话，那么这款杀毒软件自带防火墙程序，而且这个防火墙排名欧洲第一，绝对可以了已经。这样你就可以不必再另外安装了，这个选择比较便捷！

2，ZA，也就是ZONEALARM，用户群也蛮多额，ZA功能确实比较强大，但是对普通用户而言还是比较难上手，而且过于严格的规则可能导致上某些论坛出错，而且最新的ZA版本与卡巴斯基有严重冲突，所以卡巴的用户如果要安装ZA防火墙的话还是悠着点，哈哈。实在想尝试的话可以考虑安装55版本的，这个稳定。

'

3，OP，也就是outpost，口碑很好，用户对其评价很高，号称世界排名第二的东东，对于广告拦截很有效果，反黑能力也很强悍，网上找个破解补丁可以使用10年，但是可能占用系统资源多一点，配置不高的用户可能上网会感觉有点延迟。而且这款防火墙比较专业，上网过滤的东西也很多，很多网站的也被过滤掉，用户可能看的不习惯，所以大家自己看着办吧。

4，Tiny personal firewall pro，tiny防火墙是我用过的防火墙里面感觉技术最为先进的一款，貌似是国外军方防火墙，呵呵。Tiny的规则相当严格和复杂，对于一些刚上手的朋友而言肯定吃不消的，而且tiny防火墙与卡巴的网页扫描功能有冲突，所以这款防火墙是超级强悍，东西绝对是一流的，不怕麻烦的朋友可以尝试安装。

5，Lns，也就是传说中的look'n'stop，号称世界第一的顶级防火墙，只有600多KB，容量很小，系统资源占的很少，但是功能极其强大，只可惜设置超级复杂，很难上手，一般用户还是选择放弃吧，呵呵，虽然有一些别人编订的规则包，但还是不大适合我们使用。

6，天网，相信用的人满天飞，世界排名未知，呵呵，其实是根本埃不到边。天网可以算是一款入门级别的防火墙，和上述5款防火墙最大区别是非常容易上手，根本不需要设置什么东西，拿来就用！普通用户如果怕不装防火墙感觉不安，但又怕设置麻烦的话，干脆就用用天网算了。

国产的瑞星或者天网都会标榜自己的防火墙规则是多么多么丰富，貌似搞的很牛的样子，其实恰恰相反，规则越多防火墙性能越差，比如瑞星几乎天天更新规则，天网更是广告做到声称自己有1000条规则库文件，每次上网，天网防火墙不断闪动红色感叹号，报告XX用户试图连接本机XX端口，该包已被拦截，这个是不是增加你的心里安慰呢？每时每刻都在拦截信息，哪有这么多黑客会盯着你，天网这样做好像有点夸大其词了。其实有这么多规则顶用么？规则一多上网速度就越慢，每个探测端口的信息防火墙就要用近千条规则去衡量，这不傻掉啊！真正一流的防火墙并不需要超级多的规则，也不需要频繁更新，就如卡巴防火墙，虽然界面极其简单，更新也不快，但是一个隐藏模式就足以令国产的瑞星和天网闭嘴！

很多人热衷于做网上安全测试，我也做过几次，后来发现也不能说明什么问题，加装一流防火墙和不装防火墙就一定有本质区别？就拿诺顿安全测试来看，只用XP SP2自带防火墙就可以轻松通过所有测试，全部显示安全。呵呵，装个ZA也是安全，那到底装不装呢？所以大家也不要迷信这些测试网站。自己认为怎么顺手就怎么用好了！

乱七八糟说了这么多，也不知道大家有没有耐心看完额。以上涉及的杀毒软件或者防火墙本人每个都使用过，所以写的内容也是真实的使用体会。大家随便看看吧。如果各位图个方便，不想装其他设置繁琐的防火墙，但又希望系统有最大限度的安全保障的话，可以考虑使用国外的F-Secure Anti-Virus Client Security或者BitDefender Professional，都是杀毒软件＋防火墙的组合装。个人更看好F-Secure Anti-Virus Client Security，集合AVP,LIBRA,ORION,DRACO四套杀毒引擎＋内置防火墙＋反间谍监控程序，可以说各方面功能都比较均衡实在，怕麻烦的朋友们不仿可以考虑一下。但是这个软件只有英文原版的，但是我想英文界面也并非那么令人望而却步吧。

其实对于杀毒软件除了国内的，国外的杀软建议大家都使用英文原版的，那些汉化内核的版本最好别用，bug太多，除了真正出过简体中文版本的，不过我个人还是不喜欢，呵呵。

另外我需要强调一点的就是卡巴其实并不适合每个人，大家应该依照自己的实际情况装杀毒软件，卡巴占用系统资源更象暴发户，所以很容易拖垮电脑，如果自己电脑配置本身就不高，CPU处理器能力也不强，或者内存就256MB那么点，我想还是算了吧，毕竟装了以后你才知道什么叫慢，开了个卡巴，除了得到我系统应该很安全了这样的心里安慰，其他事情都不能做，开个大程序就卡，玩个游戏载入要老半天，这又何苦呢？与其这样，我宁可欣赏飘哥的做法，撒杀毒软件也不装，就搞个防火墙玩玩，毕竟节省资源啊！敢于裸奔电脑上网的用户我就更服帖了！

我写这篇文章就是希望大家不要盲目跟风，卡巴是好卡巴是比较牛，但不是意味着就要一窝蜂都去装卡巴，何必呢，天下杀毒软件如此之多，何必单恋他一个呢？大家说对伐？

参考资料：

Symantec诺顿企业版杀毒防火墙软件，服务器杀毒防火墙SymantecEndpointProtection将SymantecAntiVirus与高级威胁防御功能相结合，可以为笔记本、台式机和服务器提供无与伦比的恶意软件防护能力。它在一个代理和管理控制台中无缝集成了基本安全技术，从而不仅提高了防护能力，而且还有助于降低总拥有成本。

Windows服务器系统使用，win2008，win2012，win2016win2019

服务器一般会有两种使用方式，一种是托管的服务器，或者是在IDC租用的服务器，此时需要的是单机防火墙；另外一种是公司学校的局域网服务器，这种一般是作为网络出口的桥头堡，保护整个局域网的安全，这时要使用专门的网关防火墙。

几款单机版防火墙比较适合于拥有IDC服务器的用户:

BlackICE Server Protection , Cyberwall PLUS-SV

KFW傲盾防火墙服务器版

服务器网关防火墙: ISA Server

微软Microsoft ISA服务器2004(中文企业版T22-00178) 北京 参考价格：￥2200;

天鹰抗DDOS防火墙服务器企业版2200

诺顿的据说很不错，报价官方网站上有