怎样为网站配备防火墙

就是为网站的服务器配置防火墙
就是配备硬件防火墙或者购买软件防火墙，但硬件防火墙价格昂贵，软件防火墙也价格不菲
不过WIN2003有自带防火墙
Windows 2003提供的防火墙称为Internet连接防火墙，通过允许安全的网络通信通过防火墙进入网络，同时拒绝不安全的通信进入，使网络免受外来威胁。Internet连接防火墙只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。
Internet连接防火墙的设置
在Windows 2003服务器上，对直接连接到 Internet 的计算机启用防火墙功能，支持网络适配器、DSL 适配器或者拨号调制解调器连接到 Internet。
1 启动/停止防火墙
(1)打开“网络连接”，右击要保护的连接，单击“属性”，出现“本地连接属性”对话框。
(2)单击“高级”选项卡，出现如图1所示启动/停止防火墙界面。如果要启用 Internet 连接防火墙，请选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框;如果要禁用Internet 连接防火墙，请清除以上选择。
2防火墙服务设置
Windows 2003 Internet连接防火墙能够管理服务端口，例如>应用到: Windows 7, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Vista由于FTP 工作方式所致，在防火墙后的服务器上使用文件传输协议 (FTP) 服务会产生一系列的挑战。通过打开到 TCP 端口号 21 的“命令通道”连接，标准模式 FTP 客户端会启动到服务器的会话。客户端通过将 PORT 命令发送到服务器请求文件传输。然后，服务器会尝试启动返回到 TCP 端口号 20 上客户端的“数据通道”连接。客户端上运行的典型防火墙将来自服务器的此数据通道连接请求视为未经请求，并会丢弃数据包，从而导致文件传输失败。Windows�0�2Vista 和 Windows Server�0�22008 中的 高级安全 Windows 防火墙 支持有状态 FTP，该 FTP 允许将端口 20 上的入站连接请求与来自客户端的先前出站 PORT 命令相匹配。但是，如果您通过 SSL 使用 FTP 来加密和保护 FTP 通信，则防火墙不再能够检查来自服务器的入站连接请求，并且这些请求会被阻止。为了避免此问题，FTP 还支持“被动” *** 作模式，客户端在该模式下启动数据通道连接。客户端未使用 PORT 命令，而是在命令通道上发送 PASV 命令。服务器使用 TCP 端口号进行响应，客户端应连接到该端口号来建立数据通道。默认情况下，服务器使用极短范围（1025 到 5000）内的可用端口。为了更好保护服务器的安全，您可以限制 FTP 服务使用的端口范围，然后创建一个防火墙规则：仅在那些允许的端口号上进行 FTP 通信。本主题将讨论执行以下 *** 作的方法： 配置FTP 服务以便仅将有限数量的端口用于被动模式 FTP配置入站防火墙规则以便仅在允许的端口上进行入站 FTP 连接以下过程显示在 Internet 信息服务 (IIS) 70 版上配置 FTP 服务的步骤。如果您使用其他 FTP 服务，请查阅产品文档以找到相应的步骤。配置对 SSL 的支持不在本主题的讨论范围之内。有关详细信息，请参阅 IIS 文档。配置FTP 服务以便仅将有限数量的端口用于被动模式 FTP在IIS 70 管理器中的“连接”窗格中，单击服务器的顶部节点。在细节窗格中，双击“FTP 防火墙支持”。输入您希望 FTP 服务使用的端口号的范围。例如，41000-41099 允许服务器同时支持 100 个被动模式数据连接。输入防火墙的外部 IPv4 地址，数据连接通过该地址到达。在“ *** 作”窗格中，单击“应用”保存您的设置。还必须在 FTP 服务器上创建防火墙规则，以在前一过程中配置的端口上允许入站连接。尽管您可以创建按编号指定端口的规则，但是，创建打开 FTP 服务所侦听的任何端口的规则更为容易。通过按前一过程中的步骤 *** 作，您可限制 FTP 侦听的端口。配置入站防火墙规则以便仅允许到 FTP 所侦听端口的入站 FTP 连接打开管理员命令提示符。依次单击「开始」、“所有程序”和“附件”，右键单击“命令提示符”，然后单击“以管理员身份运行”。运行下列命令： netsh advfirewall firewall add rule name=”FTP Service” action=allow service=ftpsvc protocol=TCP dir=in 最后，禁用有状态 FTP 筛选，以使防火墙不会阻止任何 FTP 通信。 netsh advfirewall set global StatefulFTP disable

用FTP Serv-U的功能无非就是把本机作为文件服务器用,外网用户可以在实现文件共享但一般的ADSL用户都是从ISP获取动态IP,所以每次开机的IP地址都不同,所以FTP Serv-U里也要设固定的IP,否则就无法访问你的机器了在命令提示符下输入"ipconfig/all"可以得到你本机的外网IP,将这个外网IP设置到FTP Serv-U里,然后外网的其它用户就可以通过这个IP地址访问你的服务器了

自建网站服务器……
1看公司决定投入多少吧~~首选还是硬件防火墙。哪个好我真不知道……这等奢侈品绝不是我这种个人用户能消费的起的~我只知道思科、华为这两个肯定差不了~~联想的貌似也可以~~当然，价格也不便宜，价位主要取决于你要求的网络吞吐量。从几千到数十万不等~~
2如果实在没有资金安装硬件防火墙。那软件防火墙要看你什么系统了。Unix有什么防火墙还真不知道……Linux下，shorewall应该不错吧（这个貌似是Linux/Unix通用的）~~我作为一个Linux的家庭用户，只要隐藏端口即可~~也没用多高级的防火墙~~
3如果很不幸你决定用Windows
Server系统做服务器……Outpost吧~~如果普通用户要求我推荐防火墙，我会有很多选择。但作为一个服务器系统，我目前只知道Outpost防火墙是支持Windows
Server系统的……效果挺好~~原来用Windows的时候用过~~挺简单，也很强大~~
4如果更加不幸的你准备拿Windows
XP去当服务器系统……那你随便吧……谁都救不了你了……

---