服务器防火墙怎么配置

关于服务器安全，新手最常遇到的一个问题就是:应该选择哪个防火墙？面对种类如此繁多的服务器防火墙，在选择时，应该考虑厂商的知名度还是防火墙本身的性能？选择国产防火墙好还是国外防火墙好？我应该使用付费的企业防火墙还是尝试免费的防火墙？所有这些问题都令人非常头痛。

不同的应用环境，不同的使用需求，对防火墙性能的要求是不同的。所以，要真正找到一款合适的服务器防火墙，重点是在选择服务器防火墙的时候，仔细分析自己的需求，综合考虑不同类型服务器防火墙的优缺点。为了帮助新手在选择服务器防火墙时有一个大致的方向，我们将介绍服务器防火墙的大致分类，以及不同类型的服务器防火墙的优缺点。

首先，根据组成和结构，服务器防火墙的类型可以分为硬件防火墙和软件防火墙。

硬件防火墙本质上是在硬件中嵌入软件防火墙。硬件防火墙的硬件和软件需要分开设计，使用专门的网络芯片处理数据包。同时采用了特殊的 *** 作系统平台，避免了内部网络安全受到通用 *** 作系统安全漏洞的威胁。也就是说，硬件防火墙就是把防火墙程序植入芯片，硬件执行服务器的保护功能。由于采用嵌入式结构，它比其他类型的防火墙速度更快、功能更强大、性能更高。

软件防火墙，顾名思义，就是安装在服务器平台上的软件产品。它通过在 *** 作系统的底层工作来优化网络管理和防御功能。软件防火墙运行在特定的计算机上，需要客户预先安装的计算机 *** 作系统的支持。一般来说，这台电脑是整个网络的网关。软件防火墙和其他软件产品一样，需要在电脑上安装配置后才能使用。

硬件防火墙在性能上优于软件防火墙，因为它有自己专用的处理器和内存，可以独立完成防止网络攻击的功能。不过价格会贵很多，更改设置也比较麻烦。但是

软件防火墙作为网关安装在服务器上，利用服务器的CPU和内存实现防止攻击的能力。在受到严重攻击的情况下，可能会占用大量的服务器资源，但相对来说要便宜很多，架设也方便很多。

其次，服务器防火墙除了结构上可以分为软件防火墙和硬件防火墙，技术上可以分为包过滤型、应用代理型和状态监控型三大类。一个防火墙的实现过程有多复杂，归根结底就是基于这三种技术来扩展其功能。

1。包过滤类型

包过滤是最早的防火墙技术。它的第一代模型是静态包过滤，工作在OSI模型的网络层，而后来开发的动态包过滤工作在OSI模型的传输层。包过滤防火墙工作在各种基于TCP/IP协议的数据包进出的地方。它以这个网络层和传输层作为数据监控的对象，分析每个数据包的报头、协议、地址、端口、类型等信息，并与预设的防火墙过滤规则进行核对。一旦发现数据包的一个或多个部分与过滤规则匹配，且条件为“阻塞”，该数据包将被丢弃。

基于包过滤技术的防火墙的优势在于，对于小型且不太复杂的站点，更容易实现。然而，它的缺点是显而易见的。第一，大型复杂站点包过滤的规则表很快就会变得庞大复杂，规则很难测试。随着表大小和复杂程度的增加，规则结构漏洞的可能性也会增加。其次，这种防火墙依靠单一组件来保护系统。如果此组件有问题，或者允许外部用户访问内部主机，则它可以访问内部网络上的任何主机。

2。应用程序代理类型

应用代理防火墙实际上是一个小型的透明代理服务器，具有数据检测和过滤功能，但并不是简单的在代理设备中嵌入包过滤技术，而是一种叫做应用协议分析的新技术。代理防火墙能主动实时监控各层数据，并能有效判断各层的非法入侵。同时，这种防火墙一般都配有分布式检测器，可以检测来自网络外部的攻击，同时对来自内部的恶意破坏有很强的防范作用。

应用代理防火墙是基于代理技术的。每一个穿越防火墙的连接都必须建立在为其创建的代理进程上，而代理进程本身又需要一定的时间，所以数据穿越代理防火墙时不可避免的会出现数据滞后。代理防火墙以牺牲速度为代价获得了比包过滤防火墙更高的安全性能。

3。状态监控类型

这种防火墙技术利用一种叫做“状态监控”的模块，在不影响网络安全正常工作的情况下，通过提取相关数据来监控网络通信的各个层面，并根据各种过滤规则做出安全决策。状态监测可以对数据包内容进行分析，从而摆脱了传统防火墙只限于检测少量包头信息的弱点。而且这款防火墙不用开放太多端口，进一步消除了开放端口过多带来的安全隐患。

三。主流服务器软件防火墙推荐

在选择软件防火墙时，要注意软件防火墙本身的安全性和效率。同时要考虑软件防火墙配置和管理的方便性。一个好的软件防火墙产品必须满足用户的实际需求，比如一个好的用户界面，可以支持命令行管理、GUI和集中管理。我们推荐几款知名的软件防火墙供您参考:

1。卡巴斯基互联网防火墙反黑客

这是卡巴斯基公司出品的一款优秀的网络安全防火墙。它与著名的杀毒软件AVP是同一家公司的产品。网络数据访问的所有动作都会通过它提示用户。是否释放访问行为由用户决定，它可以抵御来自内部网络或互联网的黑客。这个软件的另一个特点是病毒库的及时更新。卡巴斯基的病毒库每天更新两次，用户可以根据自己的需求预设软件的更新频率。这款产品唯一的缺点就是无论是杀毒还是监控都会占用大量的系统资源。

2。诺顿防火墙企业版

诺顿防火墙企业版适用于企业服务器、电子商务平台和VPN环境。这种模式可以提供安全的故障转移和最长的正常运行时间等。该软件防火墙采用经验证的防火墙管理、维护、监控和报告，提供细致周到的外围保护。其灵活的服务可以支持任意数量的防火墙，无论是单个防火墙还是企业的全局防火墙部署。同时，该软件还提供了包括WindowsNT域、Radius、数字认证、LDAP、S/Key、Defender、SecureID在内的一整套强大的用户认证方式，让管理员可以从用户环境中灵活选择安全数据。

3。服务器安全狗

服务器安全狗是为IDC运营商、虚拟主机服务商、企业主机、服务器管理者等用户提供服务器安全的实用系统。它是一款服务器安全防护工具，集DDOS防护、ARP防护、检查网络连接、网络流量和IP过滤于一体。实时流量监控，服务器进程连接监控，及时发现异常连接的进程监控机制。同时，防火墙还具有智能DDOS攻击防护，可以抵御CC攻击、UDPFlood、TCPFlood、SYNFlood、ARP等对服务器的恶意攻击。防火墙还提供了详细的日志跟踪功能，方便查找攻击源。

4。KFW奥顿服务器版

KFW奥顿防火墙系统是一个全面的、创新的、高安全性和高性能的网络安全系统。它根据系统管理员设置的安全规则守护企业网络，提供强大的访问控制、状态检测、网络地址转换、信息过滤、流量控制等功能。通过高性能网络核心提供完善的安全设置和访问控制。

5。迈克菲防火墙企业版

McAfeeFirewallEnterprise的高级功能，如应用程序监控、基于信誉的全球情报、自动威胁更新、加密流量检测、入侵防御、病毒防护和内容过滤，可以及时拦截攻击并使其无法得逞。

6。冰盾专业防DDOS防火墙软件

冰盾防火墙软件具有良好的兼容性、稳定性和增强的抗DDOS能力，适用于传奇服务器、奇迹服务器、网站服务器、游戏服务器、音乐服务器、电影服务器、聊天服务器、论坛服务器、电商服务器等多种主机服务器。防火墙软件可以智能识别各种DDOS攻击和黑客入侵。在反黑客方面，该软件可以智能识别端口扫描、Unicode恶意编码、SQL注入攻击、木马上传、漏洞利用等2000多种黑客行为