億恩科技總結如何選擇服務器的防火墻

億恩科技總結如何選擇服務器的防火墻

相信每個企業都會注重企業安全，當然網絡安全也在其中，維護網絡安全是個技術活，像服務器的安全，這就需要我們選擇一款安全值得新來的防火墻，究竟該怎么挑選呢，我們來跟IDC頂級服務商億恩科技一起來了解學習關于挑選服務器防火墻的課題，服務器的安全問題是新手比較頭痛的一個問題，不知該選擇哪種防火墻？市場上服務器防火墻惹得人眼花繚亂，億恩科技從客觀分析，給大家一些挑選服務器防火墻的建議和注意事項。

不同應用環境和不同的使用需求，對防火墻性能的要求各不一樣。所以要真正找到一款合適的服務器防火墻，重點便是在選擇服務器防火墻的時候，認真分析自身的需求，綜合考慮各種不同類型的服務器防火墻的優缺點。為了幫助新手在選擇服務器防火墻的時候，能夠有一個比較大概的方向，我們將介紹服務器防火墻的大致分類，以及不同類型服務器防火墻各自的優缺點。

一、按照組成結構劃分，服務器防火墻的種類可以分為硬件防火墻和軟件防火墻。

硬件防火墻本質上是把軟件防火墻嵌入在硬件中，硬件防火墻的硬件和軟件都需要單獨設計，使用專用網絡芯片來處理數據包，同時，采用專門的操作系統平臺，從而避免通用操作系統的安全漏洞導致內網安全受到威脅。也就是說硬件防火墻是把防火墻程序做到芯片里面，由硬件執行服務器的防護功能。因為內嵌結構，因此比其他種類的防火墻速度更快，處理能力更強，性能更高。

 

軟件防火墻，顧名思義便是裝在服務器平臺上的軟件產品，它通過在操作系統底層工作來實現網絡管理和防御功能的優化。軟件防火墻運行于特定的計算機上，它需要客戶預先安裝好的計算機操作系統的支持，一般來說這臺計算機就是整個網絡的網關。軟件防火墻就像其它的軟件產品一樣需要先在計算機上安裝并做好配置才可以使用。

硬件防火墻性能上優于軟件防火墻，因為它有自己的專用處理器和內存，可以獨立完成防范網絡攻擊的功能，不過價格會貴不少，更改設置也比較麻煩。而軟件防火墻是在作為網關的服務器上安裝的，利用服務器的CPU和內存來實現防攻擊的能力，在攻擊嚴重的情況下可能大量占用服務器的資源，但是相對而言便宜得多，設置起來也很方便。

二、除了從結構上可以把服務器防火墻分為軟件防火墻和硬件防火墻以外，還可以從技術上分為“包過濾型”、“應用代理型”和“狀態監視”三類。一個防火墻的實現過程多么復雜，歸根結底都是在這三種技術的基礎上進行功能擴展的。

1. 包過濾型

包過濾是最早使用的一種防火墻技術，它的第一代模型是靜態包過濾，工作在OSI模型中的網絡層上，之后發展出來的動態包過濾則是工作在OSI模型的傳輸層上。包過濾防火墻工作的地方就是各種基于TCP/IP協議的數據報文進出的通道，它把這網絡層和傳輸層作為數據監控的對象，對每個數據包的頭部、協議、地址、端口、類型等信息進行分析，并與預先設定好的防火墻過濾規則進行核對，一旦發現某個包的某個或多個部分與過濾規則匹配并且條件為“阻止”的時候，這個包就會被丟棄。

基于包過濾技術的防火墻的優點是對于小型的、不太復雜的站點，比較容易實現。但是其缺點是很顯著的，首先面對大型的，復雜站點包過濾的規則表很快會變得很大而且復雜，規則很難測試。隨著表的增大和復雜性的增加，規則結構出現漏洞的可能性也會增加。其次是這種防火墻依賴于一個單一的部件來保護系統。如果這個部件出現了問題，或者外部用戶被允許訪問內部主機，則它就可以訪問內部網上的任何主機。

2. 應用代理型

應用代理防火墻，實際上就是一臺小型的帶有數據檢測過濾功能的透明代理服務器，但是它并不是單純的在一個代理設備中嵌入包過濾技術，而是一種被稱為應用協議分析的新技術。應用代理防火墻能夠對各層的數據進行主動的，實時的監測，能夠有效地判斷出各層中的非法侵入。同時，這種防火墻一般還帶有分布式探測器， 能夠檢測來自網絡外部的攻擊，同時對來自內部的惡意破壞也有極強的防范作用。

應用代理型防火墻基于代理技術，通過防火墻的每個連接都必須建立在為之創建的代理程序進程上，而代理進程自身是要消耗一定時間，于是數據在通過代理防火墻時就不可避免的發生數據遲滯現象，代理防火墻是以犧牲速度為代價換取了比包過濾防火墻更高的安全性能。

3. 狀態監視型

這種防火墻技術通過一種被稱為“狀態監視”的模塊，在不影響網絡安全正常工作的前提下采用抽取相關數據的方法對網絡通信的各個層次實行監測，并根據各種過濾規則作出安全決策。狀態監視可以對包內容進行分析，從而擺脫了傳統防火墻僅局限于幾個包頭部信息的檢測弱點，而且這種防火墻不必開放過多端口，進一步杜絕了可能因為開放端口過多而帶來的安全隱患。

由于狀態監視技術相當于結合了包過濾技術和應用代理技術，因此是最先進的，但是由于實現技術復雜，在實際應用中還不能做到真正的完全有效的數據安全檢測，而且在一般的計算機硬件系統上很難設計出基于此技術的完善防御措施。

三、主流服務器軟件防火墻推薦

在選擇軟件防火墻的時候，應該注意軟件防火墻本身的安全性及高效性。同時，要考慮軟件防火墻的配置及管理的便利性。一個好的軟件防火墻產品必須符合用戶的實際需要，比如良好的用戶交互界面，既能支持命令行方式管理、又能支持GUI和集中式管理等。以下我們推薦幾款比較知名的軟件防火墻供大家參考：

1. 卡巴斯基軟件防火墻 Anti-Hacker

這是卡巴斯基公司出品的一款非常優秀的網絡安全防火墻，它和著名的殺毒軟件AVP是同一個公司的產品。所有網絡資料存取的動作都會經由它對用戶產生提示，存取動作是否放行都由用戶決定，而且可以抵擋來自于內部網絡或網際網絡的黑客攻擊。此軟件的另一特色就是病毒庫更新的及時�？ò退够镜牟《緮祿䦷烀刻旄聝纱�，用戶可根據自己的需要任意預設軟件的更新頻率。此款產品唯一不足的是，其無論是殺毒還是監控，都會占用較大的系統資源。

2. 諾頓防火墻企業版

諾頓防火墻企業版，適用于企業服務器、電子商務平臺及VPN環境。此款可以提供安全故障轉移和最長的正常運轉時間等。這款軟件防火墻采用經過驗證的防火墻管理維護、監測和報告來提供細致周到的周邊保護，其靈活的服務能夠支持任意數目的防火墻，既可以支持單個防火墻，也可以支持企業的全球范圍防火墻部署。同時，軟件還提供了包括 Windows NT Domain、Radius、數字認證、LDAP、S/Key、Defender、SecureID 在內的一整套強大的用戶身份驗證方法，使管理員可以從用戶環境中靈活地選擇安全數據。

3. 服務器安全狗

服務器安全狗是為IDC運營商、虛擬主機服務商、企業主機、服務器管理者等用戶提供服務器安全防范的實用系統。是一款集DDOS防護、ARP防護、查看網絡連接、網絡流量、IP過濾為一體的服務器安全防護工具。具備實時的流量監測，服務器進程連接監測，及時發現異常連接進程監測機制。同時該防火墻還具備智能的DDOS攻擊防護，能夠抵御 CC攻擊、UDP Flood、TCP Flood、SYN Flood、ARP等類型的服務器惡意攻擊。該防火墻還提供詳盡的日志追蹤功能，方便查找攻擊來源。

4. KFW傲盾服務器版

KFW傲盾防火墻系統是一套全面、創新、高安全性、高性能的網絡安全系統。它根據系統管理者設定的安全規則（Security Rules）把守企業網絡，提供強大的訪問控制、狀態檢測、網絡地址轉換（Network Address Translation）、信息過濾、流量控制等功能。提供完善的安全性設置，通過高性能的網絡核心進行訪問控制。

5. McAfee Firewall Enterprise

McAfee Firewall Enterprise 的高級功能如應用程序監控、基于信譽的全球情報、自動化的威脅更新、加密流量檢測、入侵防護、病毒防護以及內容過濾等，能夠及時攔截攻擊使其無法得逞。

6. 冰盾專業抗DDOS防火墻軟件

冰盾防火墻軟件具備較好的兼容性、穩定性和增強的抗DDOS能力，適用于傳奇服務器、奇跡服務器、網站服務器、游戲服務器、音樂服務器、電影服務器、聊天服務器、論壇服務器、電子商務服務器等多種主機服務器。該防火墻軟件能夠智能識別各種DDOS攻擊和黑客入侵行為。在防黑客入侵方面，軟件可智能識別Port掃描、Unicode惡意編碼、SQL注入攻擊、Trojan木馬上傳、Exploit漏洞利用等2000多種黑客入侵行為。

億恩科技已為國內上百萬家企業及個人提供了系統集成、網站開發、服務器租用、服務器托管、域名注冊、空間租用、電子商務等多種網絡服務。作為中國頂級的IDC運營商和空間域名注冊商，億恩科技目前共運營國內十多家省級骨干機房，為華中地區最大，國內頂級的IDC、空間、域名業務服務商。http://enidc.com/contactus/aboutus.aspx