问题描述:
我单位使用WIN2003做路由,WIN2003两张网卡,一张外网,一张内网,外网的接光纤,现做了个NAT路由,让内网用户共享上网,请问各位,我应该安装什么防火墙抵御外网黑客入侵?如果不装防火墙,有什么更好的方法做到同样抵御入侵的效果?请详细说明,谢谢。
不要给我说怎样选购防火墙,我是说安装什么软件防火墙。
问题解答:
Microsoft ISA Server 2004 好了Microsoft Internet Security and Acceleration (ISA) Server 2004 是高级应用程序层防火墙、虚拟专用网络 (VPN) 和 Web 缓存解决方案,它使客户能够通过提高网络安全和性能轻松地从现有的 IT 投资获得最大收益。
ISA Server 2004 是企业防火墙、虚拟专用网(VPN)和Web缓存解决方案。ISA Server 2004将应用层过滤、得到简化的管理集成以及快速的Web访问带入到了一个新的水平。所以建议用ISA 吧 兼容性也好。
一看楼上就是抄写网上的文档,太没有创意。都不敢证明自己的能力。
你是想装企业级防火墙吗?
如果是软件版的 买个国产的瑞星放火墙吧
小单位基本也没什么问题
防火墙是目前主要的网络安全设备,企业为了保证网络安全都会选择防火墙产品。防火墙能有效地防止外来的入侵,它在网络系统中,有效的控制进出网络的信息流向和信息包;提供使用和流量的日志和审计;隐藏内部IP地址及网络结构的细节;提供VPN功能等等。作为一个企业安全考虑的因素太多,例如如果部署网络安全体系,选购合适的防火墙就显的特别的重要。笔者下面从技术角度出发,谈谈怎么选择合适的企业防火墙。
一、防火墙种类
在选购之前,企业用户首先需要弄清防火墙的种类。目前,市场有六种基本类型的防火墙,分别是嵌入式防火墙、 基于企业软件的防火墙、基于企业硬件的防火墙、SOHO软件防火墙、SOHO硬件防火墙和特殊防火墙。
嵌入式防火墙 就是内嵌于路由器或交换机的防火墙。嵌入式防火墙是某些路由器的标准配置。用户也可以购买防火墙模块, 安装到已有的路由器或交换机中。嵌入式防火墙也被称为阻塞点防火墙。由于互联网使用的协议多种多样, 所以不是所有的网络服务都能得到嵌入式防火墙的有效处理。嵌入式防火墙工作于IP层,所以无法保护网络免受病毒、 蠕虫和特洛伊木马程序等来自应用层的威胁。就本质而言,嵌入式防火墙常常是无监控状态的, 它在传递信息包时并不考虑以前的连接状态。
基于软件的防火墙 是能够安装在操作系统和硬件平台上的防火墙软件包。如果用户的服务器装有企业级操作系统, 购买基于软件的防火墙则是合理的选择。如果用户是一家小企业,并且想把防火墙与应用服务器(如网站服务器)结合起来, 添加一个基于软件的防火墙就是合理之举。
基于硬件的防火墙 捆绑在“交钥匙”系统(Turnkey system)内,是一个已经装有软件的硬件设备。 基于硬件的防火墙也分为家庭办公型和企业型两种款式。
特殊防火墙 是侧重于某一应用的防火墙产品。目前,市场上有一类防火墙是专门为过滤内容而设计的, MailMarshal和WebMarshal就是侧重于消息发送与内容过滤的特殊防火墙。OKENA的StormWatch虽然没有标明是防火墙, 但也具有防火墙类规则和应用防范禁闭功能。
二、用户节点数
在选购防火墙时,用户需要考虑保护的节点数。要加以保护的结点数决定了是采用企业级防火墙还是采用SOHO防火墙。 SOHO防火墙能够应付50个以内的用户连接请求。如果需要保护50个以上用户,就必须采用企业防火墙。 企业防火墙具有管理多个防火墙的功能,这意味着企业防火墙能够与中央管理控制台进行通信。 生产企业防火墙的供应商大都提供作为选件的中央管理控制台。此外,安全信息管理(SIM)设备也可以作为第三方管理控制台使用。 大多数防火墙都标明了用户连接数。
三、折衷考虑
软件防火墙具有比硬件防火墙更灵活的性能,但是安装软件防火墙需要用户选择硬件平台和操作系统。 而设备防火墙经过厂商的预先包装,启动及运作要比软件防火墙快得多。用户购买了设备防火墙, 就获得了一个捆绑在硬盒子里的“交钥匙”系统。如果用户对防火墙运行的硬件平台没有特殊要求, 硬件防火墙则是这类用户理想的选择。在多数情况下,用户希望隔离防火墙服务,不把防火墙安装在其他应用中, 只有用户采用特殊防火墙时是个例外。
·分析:企业如何选择合适的防火墙
四、NAT功能
如今,几乎所有防火墙都捆绑了网络地址转换(NAT)功能。NAT使用户能够把专用或非法IP地址转换成合法的公共地址。 NAT结构可分为四类:一对一寻址、多对一寻址、一对多寻址和多对多寻址。
一对一寻址是NAT最基本的形式,可以把内部IP地址映射到不同的外部公共IP地址。 多对一寻址意味着多个内部IP地址可以映射到一个外部IP地址,如果用户有一个内部DHCP作用域,并想把它映射到一个外部IP地址, 建议这类用户采用多对一寻址。多对多寻址将其他网络上几组不同的IP地址映射成内部或外部的IP地址。 如果用户准备把一组DHCP作用域映射到另一组DHCP作用域,这就需要采用多对多NAT寻址。 一对多寻址则使用于需要把一个IP地址分成两个地址的负载均衡场合。如果用户需要部署一个庞大、复杂的电信级网络 这就需要使用NAT的高级特性。对简单网络而言,一对一NAT功能就已足够。
五、VPN功能
有些防火墙具有VPN功能,这类防火墙通常被用作VPN的端点。VPN能够确保隐私和数据的完整性。用户要牢记VPN必须有两个端点。 如果用户没有第二个端点连接至VPN,就没有购买具有VPN功能的防火墙的必要。VPN通过加密隧道发送数据, 从而把数据与外界隔离开来。加密过程需要额外的处理能力,如果用户准备为电信级网络建立VPN, 这就需要捆绑具有密码加速器或允许添加密码加速器的VPN防火墙。捆绑密码加速器是为了提高VPN的速度。
六、日志功能
日志功能是防火墙的重要特性之一。用户最好选购能够记录多种事件的日志、过滤多种事件的防火墙。 用户要弄清所选购的防火墙日志事件的多少和过滤器的多少。过滤器能够使用户以合理、易懂的方式察看不同的事件。 用户应该能够根据IP地址、网络号、连接类型、域名和日期时间等基本过滤器过滤事件。Syslog格式是最常用的日志格式, 用户所选购的防火墙最好支持Syslog格式。
七、防火墙规则
防火墙都有一个规则文件,该文件是防火墙上最重要的配置文件。防火墙规则对防火墙允许哪些类型的流量进出网络作出规定。 用户要弄清:每次更改规则文件,是否需要重新启动防火墙。如果用户准备选购电信级防火墙,重新启动就是必要条件。另外, 用户还需要查明:防火墙是否支持自动次序独立规则。防火墙上的规则需要排成非常特定的次序,否则无法正常工作。 一些防火墙具有自动给规则排列次序的特性。具有这一特性的防火墙最好同时具有开启及关闭该特性的功能。 自动次序独立规则制订是一个出色的特性,它能帮助用户合理给规则排列次序。但是,在制订防火墙规则时,人的作用是无法取代的。
八、小结
选购企业防火墙,用户需要了解的还不仅仅局限于以上几点。用户还需要认真研究一下防火墙的高可用性、 内容过滤器以及支持防病毒功能的特性。最后,用户还必须弄清供应商是否提供电话支持服务以及这项服务的收费情况。 防火墙电话支持对于帮助用户配置防火墙至关重要。
安装卡巴斯基杀毒软件也可以
如果你是想装企业级防火墙
防火墙是目前主要的网络安全设备,企业为了保证网络安全都会选择防火墙产品。防火墙能有效地防止外来的入侵,它在网络系统中,有效的控制进出网络的信息流向和信息包;提供使用和流量的日志和审计;隐藏内部IP地址及网络结构的细节;提供VPN功能等等。作为一个企业安全考虑的因素太多,例如如果部署网络安全体系,选购合适的防火墙就显的特别的重要。笔者下面从技术角度出发,谈谈怎么选择合适的企业防火墙。
一、防火墙种类
在选购之前,企业用户首先需要弄清防火墙的种类。目前,市场有六种基本类型的防火墙,分别是嵌入式防火墙、 基于企业软件的防火墙、基于企业硬件的防火墙、SOHO软件防火墙、SOHO硬件防火墙和特殊防火墙。
嵌入式防火墙 就是内嵌于路由器或交换机的防火墙。嵌入式防火墙是某些路由器的标准配置。用户也可以购买防火墙模块, 安装到已有的路由器或交换机中。嵌入式防火墙也被称为阻塞点防火墙。由于互联网使用的协议多种多样, 所以不是所有的网络服务都能得到嵌入式防火墙的有效处理。嵌入式防火墙工作于IP层,所以无法保护网络免受病毒、 蠕虫和特洛伊木马程序等来自应用层的威胁。就本质而言,嵌入式防火墙常常是无监控状态的, 它在传递信息包时并不考虑以前的连接状态。
基于软件的防火墙 是能够安装在操作系统和硬件平台上的防火墙软件包。如果用户的服务器装有企业级操作系统, 购买基于软件的防火墙则是合理的选择。如果用户是一家小企业,并且想把防火墙与应用服务器(如网站服务器)结合起来, 添加一个基于软件的防火墙就是合理之举。
基于硬件的防火墙 捆绑在“交钥匙”系统(Turnkey system)内,是一个已经装有软件的硬件设备。 基于硬件的防火墙也分为家庭办公型和企业型两种款式。
特殊防火墙 是侧重于某一应用的防火墙产品。目前,市场上有一类防火墙是专门为过滤内容而设计的, MailMarshal和WebMarshal就是侧重于消息发送与内容过滤的特殊防火墙。OKENA的StormWatch虽然没有标明是防火墙, 但也具有防火墙类规则和应用防范禁闭功能。
二、用户节点数
在选购防火墙时,用户需要考虑保护的节点数。要加以保护的结点数决定了是采用企业级防火墙还是采用SOHO防火墙。 SOHO防火墙能够应付50个以内的用户连接请求。如果需要保护50个以上用户,就必须采用企业防火墙。 企业防火墙具有管理多个防火墙的功能,这意味着企业防火墙能够与中央管理控制台进行通信。 生产企业防火墙的供应商大都提供作为选件的中央管理控制台。此外,安全信息管理(SIM)设备也可以作为第三方管理控制台使用。 大多数防火墙都标明了用户连接数。
三、折衷考虑
软件防火墙具有比硬件防火墙更灵活的性能,但是安装软件防火墙需要用户选择硬件平台和操作系统。 而设备防火墙经过厂商的预先包装,启动及运作要比软件防火墙快得多。用户购买了设备防火墙, 就获得了一个捆绑在硬盒子里的“交钥匙”系统。如果用户对防火墙运行的硬件平台没有特殊要求, 硬件防火墙则是这类用户理想的选择。在多数情况下,用户希望隔离防火墙服务,不把防火墙安装在其他应用中, 只有用户采用特殊防火墙时是个例外。
·分析:企业如何选择合适的防火墙
四、NAT功能
如今,几乎所有防火墙都捆绑了网络地址转换(NAT)功能。NAT使用户能够把专用或非法IP地址转换成合法的公共地址。 NAT结构可分为四类:一对一寻址、多对一寻址、一对多寻址和多对多寻址。
一对一寻址是NAT最基本的形式,可以把内部IP地址映射到不同的外部公共IP地址。 多对一寻址意味着多个内部IP地址可以映射到一个外部IP地址,如果用户有一个内部DHCP作用域,并想把它映射到一个外部IP地址, 建议这类用户采用多对一寻址。多对多寻址将其他网络上几组不同的IP地址映射成内部或外部的IP地址。 如果用户准备把一组DHCP作用域映射到另一组DHCP作用域,这就需要采用多对多NAT寻址。 一对多寻址则使用于需要把一个IP地址分成两个地址的负载均衡场合。如果用户需要部署一个庞大、复杂的电信级网络 这就需要使用NAT的高级特性。对简单网络而言,一对一NAT功能就已足够。
五、VPN功能
有些防火墙具有VPN功能,这类防火墙通常被用作VPN的端点。VPN能够确保隐私和数据的完整性。用户要牢记VPN必须有两个端点。 如果用户没有第二个端点连接至VPN,就没有购买具有VPN功能的防火墙的必要。VPN通过加密隧道发送数据, 从而把数据与外界隔离开来。加密过程需要额外的处理能力,如果用户准备为电信级网络建立VPN, 这就需要捆绑具有密码加速器或允许添加密码加速器的VPN防火墙。捆绑密码加速器是为了提高VPN的速度。
六、日志功能
日志功能是防火墙的重要特性之一。用户最好选购能够记录多种事件的日志、过滤多种事件的防火墙。 用户要弄清所选购的防火墙日志事件的多少和过滤器的多少。过滤器能够使用户以合理、易懂的方式察看不同的事件。 用户应该能够根据IP地址、网络号、连接类型、域名和日期时间等基本过滤器过滤事件。Syslog格式是最常用的日志格式, 用户所选购的防火墙最好支持Syslog格式。
七、防火墙规则
防火墙都有一个规则文件,该文件是防火墙上最重要的配置文件。防火墙规则对防火墙允许哪些类型的流量进出网络作出规定。 用户要弄清:每次更改规则文件,是否需要重新启动防火墙。如果用户准备选购电信级防火墙,重新启动就是必要条件。另外, 用户还需要查明:防火墙是否支持自动次序独立规则。防火墙上的规则需要排成非常特定的次序,否则无法正常工作。 一些防火墙具有自动给规则排列次序的特性。具有这一特性的防火墙最好同时具有开启及关闭该特性的功能。 自动次序独立规则制订是一个出色的特性,它能帮助用户合理给规则排列次序。但是,在制订防火墙规则时,人的作用是无法取代的。
八、小结
选购企业防火墙,用户需要了解的还不仅仅局限于以上几点。用户还需要认真研究一下防火墙的高可用性、 内容过滤器以及支持防病毒功能的特性。最后,用户还必须弄清供应商是否提供电话支持服务以及这项服务的收费情况。 防火墙电话支持对于帮助用户配置防火墙至关重要。
上海旅游网