⑴ 公司局域网中的电脑如何设置防火墙
这种情况并不能统一防护,没有部署企业防病毒服务器,只能单机各自防护
⑵ 关于防火墙和公司网络的连接和配置
一般会遇到以下N种情况,你看有没有你的那种:
调制解调器不工作。
原因: 调制解调器不兼容。
解决方案: 如果有另一台计算机可以访问 Internet,那么请查看兼容调制解调器的列表。要查找由 Windows 操作系统支持的硬件,请访问 Microsoft 网站上的 Windows 目录。
原因: 调制解调器没有正确连接或已关闭。
解决方案: 验证调制解调器是否适当地连接到了计算机上的正确端口。如果调制解调器是外置的,那么请验证电源是否已打开。
无法连接到 Internet 服务提供商 (ISP)。
原因: ISP 服务器没有运行。
解决方案: 询问 ISP 以验证远程访问服务器是否正在运行。
原因: 没有有效的用户帐户,或者没有远程访问权限。
解决方案: 询问 ISP 是否已建立您的用户帐户以及您是否具有远程访问权限。
原因: 拨打的号码不对,或者拨打了正确的号码但却忘记拨打外线访问号码,例如 9。
解决方案: 验证所拨的号码是否正确。
原因: 调制解调器无法与服务器的调制解调器协商。
解决方案: 尝试使用与服务器使用的类型相同的调制解调器。
原因: 调制解调器电缆有故障。
解决方案: 不要使用大多数鼠标硬件所带的 9 到 25 针转换器,因为其中有一些不能传输调制解调器信号。为安全起见,应该使用专用的转换器。
原因: 电话线(例如,在旅馆的房间内)不适应调制解调器的速度。
解决方案: 选择较低的速率 (bps)(或者向旅馆经理申请一条直拨线)。
另请参阅: 更改调制解调器端口的最大速度。
原因: 尝试使用的线路是数字的。
解决方案: 大多数的调制解调器只能使用模拟电话线。请验证是否安装了模拟电话线,或者如果安装了数字电话线,请验证服务器和客户端是否具备数字调制解调器。
尝试连接时,收到 ISP 服务器没有响应的消息。
原因:
速率较高时,调制解调器与服务器的调制解调器不兼容。
电话线路上存在许多干扰,这会阻止调制解调器以较高的 bps 速率进行连接。
在客户端和服务器之间有某种切换设备,会阻止两个调制解调器以较高的 bps 速率协商。
解决方案: 将调制解调器调到较低的速率 (bps)。
另请参阅: 更改调制解调器端口的最大速度。
原因: ISP 服务器没有运行。
解决方案: 询问您的 ISP 以验证服务器是否在运行。
调制解调器总是以比指定速率 (bps) 低的速率连接。
原因: 调制解调器和电话线路运行不正常。电话线上过多的干扰会导致会话中断。
解决方案: 您可以使用调制解调器诊断程序来确认调制解调器是否操作正常。
原因: 线路质量不够好。
解决方案: 询问电信公司以验证线路的质量。
原因: 正在拨打的线路影响速度。
解决方案: 如果可以使用多个号码连接到 ISP,那么请尝试其他号码,看速度是否有所提高。
原因: 调制解调器软件需要更新。
解决方案: 请与调制解调器的制造商联系,以获得调制解调器软件的更新版本。
网络上与 ISP 的会话经常断开。
原因: 呼叫等待在干扰您的连接。
解决方案: 验证电话是否有呼叫等待功能。如果有,请禁用呼叫等待并尝试再次呼叫。
原因: 由于不活动,ISP 断开了与您的连接。
解决方案: 请尝试再次呼叫。
原因: 有人接听电话。拿起电话时,连接将自动断开。
解决方案: 请尝试再次呼叫。
原因: 调制解调器电缆被断开。
解决方案: 验证调制解调器电缆连接正确。
原因: 调制解调器软件需要更新。
解决方案: 请与调制解调器的制造商联系,以获得调制解调器软件的更新版本。
原因: 因为 ISP 更改了服务器上的设置,所以您需要更改自己的调制解调器设置。
解决方案: 请与 ISP 系统管理员联系以验证调制解调器的设置。
连接异常断开。
原因: ISP 服务器没有运行。
解决方案: 询问 ISP 系统管理员以验证服务器是否正在运行。
原因:
调制解调器无法与 ISP 服务器的调制解调器正确协商。
计算机的串行端口无法跟上您选择的速度。
解决方案: 请尝试用较低的初始端口速度进行连接。
原因: 调制解调器软件需要更新。
解决方案: 请与调制解调器的制造商联系,以获得调制解调器软件的更新版本。
尝试连接时接到硬件错误。
原因: 调制解调器已关闭。
解决方案: 验证调制解调器是否已经打开。如果调制解调器被关闭,请将其打开并重新拨号。
原因: 调制解调器工作不正常。
解决方案: 启用调制解调器日志记录来测试连接。
原因: 电缆不兼容。
解决方案: 如果您的调制解调器是通过“终端”而不是“网络连接”进行通讯,那么连接调制解调器与计算机的电缆可能不兼容。您需要安装兼容的电缆。
串行端口之间的冲突导致连接问题。
原因: 串行端口冲突。
解决方案: Com1 和 Com3 共享中断请求 (IRQ) 4。Com2 和 Com4 共享 IRQ 3。因此,对于串行通信,不能同时使用 COM1 和 COM3,也不能同时使用 COM2 和 COM4。例如,不能在 COM1 上使用“网络连接”的同时在 COM3 上使用“终端”。
该规则同样适用于在使用其他串行通讯程序(例如“网络连接”或“终端”程序)的同时使用鼠标的情况。如果使用智能串行适配器(如 DigiBoard 串行卡),那么此规则不适用。
试图使用 ISDN 连接时,收到“无应答”的消息。
原因: ISP 服务器没有应答,因为服务器已关机或者调制解调器没有连接。
解决方案: 请与系统管理员联系。
原因: 线路忙。
解决方案: 稍后再尝试呼叫,或与您的系统管理员联系。
原因: 硬件有问题。
解决方案: 验证是否正确安装和配置了 ISDN 适配器。
原因: 电话号码配置不正确。
解决方案: 在某些情况下,ISDN 线路上的每个 B 信道都有自己的号码,而在其他的情况下,两个 B 信道共用一个号码。电信公司可以告诉您 ISDN 线路有多少个号码。
原因: 如果是在美国或加拿大,那么服务配置文件标识符 (SPID) 的配置不正确。SPID 通常由开头、结尾或两头附加数字的电话号码组成。SPID 帮助交换机了解连接到线路上的设备的类型,以及对线路上适当设备的路由呼叫。如果 ISDN 信道需要 SPID,但是没有正确输入,那么设备将无法进行呼叫或接受呼叫。
解决方案: 验证是否正确地输入了 SPID。
原因: 线路条件不好(例如,过多的干扰)导致连接中断。
解决方案: 等几分钟再尝试拨号。
原因: 您没有启用线路类型协商,或不能使用所选择的线路类型进行连接。
解决方案: 启用线路类型协商。
原因: ISDN 交换设备正忙。
解决方案: 稍候再试。
原因: DigiBoard 卡太旧。
解决方案: 如果没有最新的 PCIMAC-ISA DigiBoard 卡(序列号为 A14308 或更高),那么请与 DigiBoard 联系进行更换。
使用 X.25 进行连接失败。
原因: 拨号 PAD 配置了错误的 X.3 参数或串行设置。
解决方案: 如果远程访问服务器正在运行,而您不能通过 X.25 智能卡或外部 PAD 直接连接到它,那么请修改拨号 PAD X.3 参数或串行设置。询问系统管理员正确的设置是什么。
原因: 新建的 Pad.inf 项不正确。
解决方案: 您可以检查用于直接连接和外部 PAD 的其他 Pad.inf 项,并查看其注释。可能需要线路分析器或终端程序才能看到 PAD 的响应。对于拨号 PAD 项,可以使用 Pad.inf 中的项作为范例,同时注意范例所附的注释。
原因: 调制解调器不兼容。
解决方案: 如果连接到拨号 PAD 的调制解调器在连接时的速度低于其应有的速度,那么请使用兼容的调制解调器替换它。
原因: 远程访问服务器的线路拥挤。如果已经建立连接,但是网络驱动器会断开,而且您的会话会被断开或遇到网络错误,那么原因可能是远程访问服务器的租用线路上出现拥挤。
例如,若四个客户端以 9600 bps 的速率进行连接(通过拨号 PAD),则要求服务器端的租用线路为 38,400 bps(四倍于 9600)。如果租用线路没有足够的带宽,则可能会造成超时并降低已连接客户端的性能。此例假定“路由和远程访问”使用了全部带宽。如果路由和远程访问共享带宽,那么可以建立的连接会更少。
解决方案: 您的系统管理员需要验证所租用线路的速度能够支持所有 COM 端口以客户端拨入时使用的各种速度进行连接。
通过 PPTP 连接失败。
原因: TCP/IP 连接问题阻止您连接到 PPTP 服务器。
解决方案: 您或您的系统管理员可以使用 ipconfig 和 ping 命令来验证到服务器的连接。
原因: Winsock 代理客户端处于活动状态。
解决方案: 当 Winsock 代理客户端处于活动状态时,VPN 连接不能工作。在虚拟网络连接对数据包进行封装处理之前,Winsock Proxy 已经将数据包重定向到代理服务器。请要求系统管理员禁用 Winsock 代理客户端。
原因: 您在远程访问服务器上没有适当的连接和域访问权限。
解决方案: 请与系统管理员联系。
原因: 如果使用的是 TCP/IP 协议,那么说明没有唯一的 TCP/IP 地址。
解决方案: 请与系统管理员联系。
原因: 名称解析问题阻止您将名称解析为 IP 地址。
解决方案: 在连接中指定完全合格的域名和 IP 地址。
使用 PPP 或 TCP/IP 实用程序进行的连接失败。
原因: 服务器不支持 LCP 扩展。
解决方案: 如果您不能使用 PPP 连接到服务器,或者远程计算机终止您的连接,那么服务器可能不支持 LCP 扩展。请在“网络连接”中,清除“启用 LCP 扩展”复选框。
原因: IP 报头压缩阻止 TCP/IP 实用程序的运行。如果已使用 PPP 成功地连接到远程服务器,但是 TCP/IP 实用程序不运行,那么问题可能是 IP 报头压缩。
解决方案: 在关闭 IP 报头压缩以后,尝试重新连接。
特定的程序遇到 Internet 连接问题,而且 Internet 连接共享、Windows 防火墙或者两者同时被启用。
原因: Windows 防火墙、Internet 连接共享或者这两者阻止程序或者禁止程序成功建立跨 Internet 的完全双向通讯。
解决方案: 从程序制造商那里获取 Internet 连接共享和 Windows 防火墙插件。Internet 连接共享和 Windows 防火墙插件可以在启用 Internet 连接共享 (ICS) 或 Windows 防火墙时解决特定程序遇到的任何 Internet 连接问题。插件是在磁盘或者 Internet 上作为可执行文件提供的。因为 Internet 连接共享和 Windows 防火墙插件可能使您的网络不安全,所以只有当它们的来源可信时才应该安装。详细信息,请参阅使用 Internet 连接共享和 Windows 防火墙插件。
使用 Internet 连接共享建立的连接失败。
原因: 共享了错误的 LAN 网络适配器。
解决方案: 有 Internet 连接共享的计算机需要两个连接。一个连接通常是网络适配器,连接到家庭或小型办公网络上的计算机,而另一个连接则将家庭或小型办公网络连接到 Internet。需要确保在将家庭或小型办公网络连接到 Internet 的连接上启用 Internet 连接共享。
原因: 家庭或小型办公网络没有安装 TCP/IP。
解决方案: 默认情况下,运行 Windows XP、Windows 2000、Windows Millennium Edition、Windows 98 和 Windows NT 4.0 的计算机上安装了 TCP/IP 协议。如果家庭或小型办公网络上的用户运行的是其他操作系统,那么请检查计算机上是否安装了 TCP/IP 协议。
原因: 如果家庭或小型办公网络上的用户无法连接 Internet,那么可能是计算机上的 TCP/IP 配置不正确。
解决方案: 确保在本地连接上建立了下列 TCP/IP 设置:
IP 地址:自动获取 IP 地址(通过 DHCP)
DNS 服务器:自动获取 DNS 服务器地址
默认网关:未指定
对于运行 Windows 95、Windows 98、Windows Millennium 或 Windows NT 4.0 的计算机,可以在“控制面板”的“网络”中找到 TCP/IP 设置。
原因: 如果家庭或小型办公网络用户不能连接 Internet,那么需要修改其 Internet 选项。
解决方案: 必须修改 Internet 连接共享的 Internet 选项。详细信息,请参阅配置 Internet 连接共享的 Internet 选项。
原因: 没有启动 Internet 连接共享服务。
解决方案: 使用事件查看器确认是否已启动 Internet 连接共享服务。
原因: 没有正确配置 Internet 连接共享计算机的名称解析。
解决方案:您可能需要在计算机上配置 WINS 或 DNS 名称解析服务。如果家庭或小型办公网络中的计算机无法将名称解析为 IP 地址,那么可以使用 ipconfig 命令检查 Internet 连接共享计算机的名称解析配置。ISP 配置名称解析的方法有两种:
静态分配的名称服务器
必须用 ISP 提供的名称服务器的 IP 地址来手动配置 TCP/IP 协议。如果您拥有静态分配的名称服务器,那么就可以随时使用 ipconfig 命令来获取您的已配置名称服务器的 IP 地址。
动态分配的名称服务器
不需要手动配置。只要一拨打 ISP,就会动态分配 ISP 提供的名称服务器的 IP 地址。如果名称服务器是动态分配的,那么必须在连接到 ISP“之后”运行 ipconfig 命令。
原因: 如果不能通过 Internet 玩游戏,那么此应用程序使用的协议是不可转换的。
解决方案: 尝试从 Internet 连接共享计算机运行该程序。如果程序在那里能正常运行,而在家庭或小型办公网络的其他计算机上却不能,那么说明该程序可能是不可转换的。
原因: 如果无法在 Internet 上玩游戏,那么可能没有在运行 Internet 连接共享的计算机上配置该程序。
解决方案: 验证是否正确配置了该程序,包括端口号。
原因:如果 Internet 用户不能看到家庭或小型办公网络上的服务(如 Web 服务器),那么该服务没有正确配置。
解决方案: 验证已正确配置了该服务,包括端口号和 TCP/IP 地址。
原因:如果家庭网络上的用户不能使用友好名称访问 Internet 站点,那么存在 DNS 解析问题。
解决方案: 当访问 Internet 资源时,请让您的家庭或小型办公网络上的用户使用完全合格的域名或 IP 地址。
使用本地连接时,没有响应。
原因: 网络适配器可能有问题。
解决方案:尝试以下操作:
检查本地连接图标的外观。根据本地连接的状态,“网络连接”文件夹中本地连接图标的外观会有所不同。而且,如果本地连接媒体断开(例如,电缆被拔掉),那么通知区域将显示一个状态图标。详细信息,请参阅本地连接。
使用 设备管理器验证您的网络适配器工作是否正常。
原因: 本地连接电缆可能没有插入网络适配器。
解决方案: 检查并确保本地连接电缆已插入网络适配器。
使用笔记本电脑连接到 ISP 时,部分或所有程序运行不正常。
原因: 当使用 ISP 连接时,WinSock 代理客户端可能会阻止程序正常运行。
解决方案: 如果您是移动用户,并且是在公司环境中使用笔记本电脑,那么当您使用同一台计算机拨号连接到 ISP 或其他网络时,可能需要禁用 Microsoft WinSock 代理客户端(“控制面板”中的 WSP 客户端)。例如,如果在办公室使用笔记本电脑,并且在家中使用同一台计算机连接到 ISP 或其他网络,那么当您使用 ISP 连接时,可能会在运行各种应用程序时遇到问题。(例如,您的程序可能无法找到需要的资源或服务器。)如果是这种情况,请禁止 Microsoft WinSock 代理客户端(“控制面板”中的 WSP 客户端)运行那些您在公司办公室里使用笔记本电脑时经常运行的程序。
传入连接客户端看不到传入连接计算机之外的资源。
另外,站长团上有产品团购,便宜有保证
⑶ 企业路由器防火墙应该怎么设置
你能联线应该就不是防火墙的问题了,即使是防火墙的问题,那也是你电脑中的软件防火墙,家用的路由器的功能比较少没什么防火墙,只有简单的过滤功能.请在软件那里设置或网速慢造成的.
⑷ 求助:我所在的公司设置了防火墙使得我不能上网聊天.我怎么才能解决这个问题啊!!!快来帮帮我吧.
遵守公司要求好好干活
如果工作需要用又上不了就反映情况
⑸ 怎样设置防火墙控制公司员工上外网
这个简单啊 流量控制设置为0, 或者禁止外网连接 其实你可以看看说明书,完全禁止很简单,就是怕部分禁止,呵呵
⑹ 网络防火墙设置流程
第一:进入防火墙(目前主流进入防火墙有:http;https;console;ssl;等)最常用的是https通过加密形式管理安全方便。 第二:对接口配置(暂时不要做什么策略,先保证大众能上网才说安全)有些防火墙会叫你定义wlan和lan口意思是说wlan口要接电信拉过来的线;而lan是要接你交换机的线。 第三:保证了物理上通了现在就要对其做路由;保证你路由可达,记得要添一条回程路由(有些防火墙自动生成默认路由;之前最好了解清楚);一般都是0.0.0.0网关是电信给你的网关即可 第四:就是NAT,这个也是必须的,保证你的地址转换正确。最好做条内网地址0.0.0.0表示任意地址转换给你的公网地址(这儿一般是可以选择wlan口的,就是你刚刚定义的那个口子) 第五:最后才是策略问题,首先做条源地址any到目的地址any的any服务放行。(这样做就可以先保证所有用户正常上网了) 第六:保证能正常上网了现在就可以对调整安全策略了,比如服务器的映射;对某些ip的网络访问限制;以及现在的防火墙自带的功能VPN;流控;ips等等 这里是简单介绍,防火墙太专业的东西,用一两句是说不清楚的。有什么疑问再说吧!
⑺ 公司想把公网IP设置到服务器上,如果中间加个防火墙,应该怎么设置呢
如果你们的目的就是将服务器对外网开放服务的话,那么你只需要在防火墙上把服务器的服务发布到外网就可以了,没必要添加一个外网地址,这是不安全也是不合理的设置
⑻ 公司门店防火墙已经做了设置,为何部分软件还是能联网呢
因为有些程序,防火墙是不屏蔽的。自己在防火墙设置,设置成不允许例外,
⑼ 企业应部署怎样的防火墙
在管理规模较大的网络环境时,网络安全往往是花费精力最多的一环。就拿配置Windows XP SP2的防火墙来说,如果让网管为网内计算机逐一进行配置的话,工作量会非常大,而且在细节配置上也容易出错。那么,如何才能提高规模化环境内的防火墙配置效率呢? Windows防火墙是Windows XP SP2中一个极为重要的安全设计,它可以有效地协助我们完成计算机的安全管理。今天,笔者将为大家介绍如何使用组策略(Group Policy)在机房中集中部署Windows防火墙,提高为网内计算机配置防火墙的效率。 为什么要集中部署 首先,我们要了解组策略对Windows防火墙的作用是什么。组策略可以决定本地管理员级别的用户是否可以对Windows防火墙进行各种设置,可以决定Windows防火墙的哪些功能被“禁用”或“允许”…… 显然,上述几个功能正好能够配合域功能进行机房的安全管理,这就为组策略能够批量化部署机房的Windows防火墙打下了基础。此时,所有客户机的 Windows防火墙的应用权限将统一归域管理员管理,本地管理员对Windows防火墙的任何设置要在域管理员的“批准”下方可进行。此外,域管理员还可使用组策略来完成所有客户机的Windows防火墙配置,而不必逐台进行了。 用组策略部署防火墙 在明白了集中部署的好处后,现在让我们一步步实现。请大家先了解一下本文的测试环境“Windows Server 2003域服务器+Windows XP SP2客户机”。本文将介绍如何在Windows Server 2003域服务器管理的机房中的客户机(Windows XP SP2)上,对所有安装了Windows XP SP2的客户机进行Windows防火墙的集中部署。 提示:为什么不是在域服务器中进行组策略的新建与配置,而是在客户机上运行?其实这很容易理解,Windows Server 2003操作系统(中文版)中还没有Windows防火墙,所以无法进行配置。但是,这一点将会随着Windows Server 2003 SP1中文正式版的推出而得到彻底解决。 OK!现在让我们开始实际操作。首先,在Windows XP SP2客户机的“运行”栏中输入“MMC”命令并回车,在打开的“控制台”窗口中,依次单击“文件→添加/删除管理单元”,添加“组策略对象编辑器”。 在弹出的“欢迎使用组策略向导”界面中,点击“浏览”按钮并在“浏览组策略对象”窗口中的空白处单击鼠标右键,在弹出的菜单中选择“新建”,并命名为“firewall”即可返回控制台窗口。 提示:客户机的当前登录账户必须具有管理员权限,方可新建GPO(组策略对象)。因此,临时解决这个问题的方法就是在DC中将客户机的账户添加到Administrators组,接着客户机临时使用管理员账户登录系统并进行GPO配置即可 返回控制台窗口后,在“firewall”策略集中可以看到“域配置文件”和“标准配置文件”两个策略子集(图1)。其中,域配置文件主要在包含域DC的网络中应用,也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用。 图1 显然,我们需要在域配置文件中进行策略的设置。下面简单地说说如何对其中的子策略进行安全配置: 保护所有网络连接:已启用;这样才能强制要求客户机启用Windows防火墙,不受客户机本地策略的影响。 不允许例外:未配置;这个可以让客户机自行安排。 定义程序例外:已启用;即按照程序文件名定义例外通信,这样可以集中配置机房中允许运行的网络程序等。 允许本地程序例外:已禁用;如果禁用则Windows防火墙的“例外”设置部分将呈灰色。 允许远程管理例外:已禁用;如果不允许客户机进行远程管理,那么请禁用。 允许文件和打印机共享例外:已禁用;如果某些客户机有共享资源需要应用,那么应该启用。 允许ICMP例外:已禁用;如果希望使用Ping命令,则必须启用。 允许远程桌面例外:已禁用;即关闭客户机可以接受基于远程桌面的连接请求功能。 允许UPnP框架例外:已禁用;即禁止客户机接收垃圾的UPnP方面的消息。 阻止通知:已禁用。 允许记录日志:未配置;允许记录通信并配置日志文件设置。 阻止对多播或广播请求的单播响应:已启用;即放弃因多播或广播请求消息而收到的单播数据包。 定义端口例外:已启用;按照TCP和UDP端口指定例外通信。 允许本地端口例外:已禁用;即禁止客户机管理员进行端口的“例外”配置。 现在,让我们通过“定义端口例外”项来介绍一下如何进行具体配置。首先,在“域配置文件”设置区域中,双击“Windows防火墙:定义端口例外”项,在弹出的属性窗口中单击“已启用→显示”,并进行“添加”。接着,使用“port:transport:scope:status:name”的格式输入要阻止或启用的端口信息(如“80:TCP:*:enabled:Webtest”)。 提示:port是指端口号码;transport是指TCP或UDP;scope中的“*”表示用于所有系统或允许访问端口的计算机列表;status是已启用或已禁用;name是用作此条目标签的文本字符串。 完成上述设置后,保存策略为“firewall”文件。现在,就得进行非常重要的一步操作,在“命令提示符”窗口中运行“Gpupdate /force”命令强制组策略设置应用到域网络中已经登录的计算机 验证部署效果 完成组策略的刷新后,先来看看本机中的Windows防火墙是否响应了策略。由于前面已经定义了“允许本地程序例外”项的状态为“已禁用”,根据这个定义,Windows防火墙的“例外”设置部分应变为灰色。现在,让我们打开本机中的Windows防火墙,可以看到被禁用的部分已经呈灰色,这说明本机已响应组策略设置了。 接着,再来看看DC是否响应了组策略。在DC服务器的“运行”栏中输入“dsa”(请根据实际情况选择)的属性窗口。在“组策略”选项卡部分可以看到保存的 firewall已经自动出现在列表中了。如果没有出现可以手工添加(图2)。 图2 到了这一步,可以看出整个设置是成功的。而此后,域中任何一台使用Windows XP SP2的计算机只要登录到域,那么该计算机就会自动下载Windows防火墙的设置并开始应用。至此,整个机房的Windows 防火墙配置操作就成功完成了。 利用组策略集中部署SP2防火墙的操作并不复杂,但是它的效果却是一劳永逸的。大家会发现组策略对于集中管理网络安全来说实在是一个不可多得的好助手
⑽ 公司里面网络网监服务器是防火墙吗
是的,是防火墙。一般的大公司都需要安装的。
一、按照组成结构划分,服务器防火墙的种类可以分为硬件防火墙和软件防火墙。
硬件防火墙本质上是把软件防火墙嵌入在硬件中,硬件防火墙的硬件和软件都需要单独设计,使用专用网络芯片来处理数据包,同时,采用专门的操作系统平台,从而避免通用操作系统的安全漏洞导致内网安全受到威胁。也就是说硬件防火墙是把防火墙程序做到芯片里面,由硬件执行服务器的防护功能。因为内嵌结构,因此比其他种类的防火墙速度更快,处理能力更强,性能更高。
软件防火墙,顾名思义便是装在服务器平台上的软件产品,它通过在操作系统底层工作来实现网络管理和防御功能的优化。软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。
硬件防火墙性能上优于软件防火墙,因为它有自己的专用处理器和内存,可以独立完成防范网络攻击的功能,不过价格会贵不少,更改设置也比较麻烦。而
软件防火墙是在作为网关的服务器上安装的,利用服务器的CPU和内存来实现防攻击的能力,在攻击严重的情况下可能大量占用服务器的资源,但是相对而言便宜得多,设置起来也很方便。
二、除了从结构上可以把服务器防火墙分为软件防火墙和硬件防火墙以外,还可以从技术上分为“包过滤型”、“应用代理型”和“状态监视”三类。一个防火墙的实现过程多么复杂,归根结底都是在这三种技术的基础上进行功能扩展的。
1. 包过滤型
包过滤是最早使用的一种防火墙技术,它的第一代模型是静态包过滤,工作在OSI模型中的网络层上,之后发展出来的动态包过滤则是工作在OSI模型的传输层上。包过滤防火墙工作的地方就是各种基于TCP/IP协议的数据报文进出的通道,它把这网络层和传输层作为数据监控的对象,对每个数据包的头部、协议、地址、端口、类型等信息进行分析,并与预先设定好的防火墙过滤规则进行核对,一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候,这个包就会被丢弃。
基于包过滤技术的防火墙的优点是对于小型的、不太复杂的站点,比较容易实现。但是其缺点是很显着的,首先面对大型的,复杂站点包过滤的规则表很快会变得很大而且复杂,规则很难测试。随着表的增大和复杂性的增加,规则结构出现漏洞的可能性也会增加。其次是这种防火墙依赖于一个单一的部件来保护系统。如果这个部件出现了问题,或者外部用户被允许访问内部主机,则它就可以访问内部网上的任何主机。
2. 应用代理型
应用代理防火墙,实际上就是一台小型的带有数据检测过滤功能的透明代理服务器,但是它并不是单纯的在一个代理设备中嵌入包过滤技术,而是一种被称为应用协议分析的新技术。应用代理防火墙能够对各层的数据进行主动的,实时的监测,能够有效地判断出各层中的非法侵入。同时,这种防火墙一般还带有分布式探测器, 能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。
应用代理型防火墙基于代理技术,通过防火墙的每个连接都必须建立在为之创建的代理程序进程上,而代理进程自身是要消耗一定时间,于是数据在通过代理防火墙时就不可避免的发生数据迟滞现象,代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高的安全性能。
3. 状态监视型
这种防火墙技术通过一种被称为“状态监视”的模块,在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测,并根据各种过滤规则作出安全决策。状态监视可以对包内容进行分析,从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点,而且这种防火墙不必开放过多端口,进一步杜绝了可能因为开放端口过多而带来的安全隐患。
由于状态监视技术相当于结合了包过滤技术和应用代理技术,因此是最先进的,但是由于实现技术复杂,在实际应用中还不能做到真正的完全有效的数据安全检测,而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施。
三、主流服务器软件防火墙推荐
在选择软件防火墙的时候,应该注意软件防火墙本身的安全性及高效性。同时,要考虑软件防火墙的配置及管理的便利性。一个好的软件防火墙产品必须符合用户的实际需要,比如良好的用户交互界面,既能支持命令行方式管理、又能支持GUI和集中式管理等。以下我们推荐几款比较知名的软件防火墙供大家参考:
1. 卡巴斯基软件防火墙 Anti-Hacker
这是卡巴斯基公司出品的一款非常优秀的网络安全防火墙,它和着名的杀毒软件AVP是同一个公司的产品。所有网络资料存取的动作都会经由它对用户产生提示,存取动作是否放行都由用户决定,而且可以抵挡来自于内部网络或网际网络的黑客攻击。此软件的另一特色就是病毒库更新的及时。卡巴斯基公司的病毒数据库每天更新两次,用户可根据自己的需要任意预设软件的更新频率。此款产品唯一不足的是,其无论是杀毒还是监控,都会占用较大的系统资源。
2. 诺顿防火墙企业版
诺顿防火墙企业版,适用于企业服务器、电子商务平台及VPN环境。此款可以提供安全故障转移和最长的正常运转时间等。这款软件防火墙采用经过验证的防火墙管理维护、监测和报告来提供细致周到的周边保护,其灵活的服务能够支持任意数目的防火墙,既可以支持单个防火墙,也可以支持企业的全球范围防火墙部署。同时,软件还提供了包括 Windows NT Domain、Radius、数字认证、LDAP、S/Key、Defender、SecureID 在内的一整套强大的用户身份验证方法,使管理员可以从用户环境中灵活地选择安全数据。
3. 服务器安全狗
服务器安全狗是为IDC运营商、虚拟主机服务商、企业主机、服务器管理者等用户提供服务器安全防范的实用系统。是一款集DDOS防护、ARP防护、查看网络连接、网络流量、IP过滤为一体的服务器安全防护工具。具备实时的流量监测,服务器进程连接监测,及时发现异常连接进程监测机制。同时该防火墙还具备智能的DDOS攻击防护,能够抵御 CC攻击、UDP Flood、TCP Flood、SYN Flood、ARP等类型的服务器恶意攻击。该防火墙还提供详尽的日志追踪功能,方便查找攻击来源。
4. KFW傲盾服务器版
KFW傲盾防火墙系统是一套全面、创新、高安全性、高性能的网络安全系统。它根据系统管理者设定的安全规则(Security Rules)把守企业网络,提供强大的访问控制、状态检测、网络地址转换(Network Address Translation)、信息过滤、流量控制等功能。提供完善的安全性设置,通过高性能的网络核心进行访问控制。
5. McAfee Firewall Enterprise
McAfee Firewall Enterprise 的高级功能如应用程序监控、基于信誉的全球情报、自动化的威胁更新、加密流量检测、入侵防护、病毒防护以及内容过滤等,能够及时拦截攻击使其无法得逞。
6. 冰盾专业抗DDOS防火墙软件
冰盾防火墙软件具备较好的兼容性、稳定性和增强的抗DDOS能力,适用于传奇服务器、奇迹服务器、网站服务器、游戏服务器、音乐服务器、电影服务器、聊天服务器、论坛服务器、电子商务服务器等多种主机服务器。该防火墙软件能够智能识别各种DDOS攻击和黑客入侵行为。在防黑客入侵方面,软件可智能识别Port扫描、Unicode恶意编码、SQL注入攻击、Trojan木马上传、Exploit漏洞利用等2000多种黑客入侵行为。