【IT168专稿】说起防火墙，在普通用户的眼里一定会想起“天网防火墙”之类的保护软件。而在企业网络之中，防火墙一般可以分为两类，即硬件防火墙和软件防火墙。企业的不同需求，使其在选购防火墙产品时就有了一定的区分。其中硬件防火墙，可以达到较高安全防范的目的，但因其价格一般较为昂贵，而且作为一些普通企业用户而言，可能并不会考虑使用硬件防火墙产品。多一台设备，除了增加投入成本，其后期的管理与维护也需要投入人力物力；因此在企业安全领域，又有了“软件防火墙”的选择。

　　硬件防火墙的选购原则
　　服务器一般建议安装DDOS的防火墙产品，这样对于服务器及网络的安全更有针对性。通常情况下，软件防火墙并没有一个硬性的选购规则，需要根据自己企业实际的网络环境来选择。但从实际的运用角度，也不难发现一些可以借鉴的选购思路：
　　一方面应该注意软件防火墙本身的安全性及高效性。如果具不具备高效性的网络安全自我防卫能力，那么它往往是受黑客攻击的首选目标，它自己一旦被攻破，整个网络也就暴露了。当然，此思路的判定标准需要借鉴其他用户大量的使用感受来综合判断。
　　另一方面就是软件防火墙的配置及管理的便利性。一个好的软件防火墙产品必须符合用户的实际需要，比如最好是中文界面，既能支持命令行方式管理、又能支持GUI和集中式管理等。
　　

　　软件防火墙产品推荐
　　目前可供选择的软件防火墙品牌，主要有KFW傲盾、瑞星、冰盾等。下面就详细为大家介绍介绍其中的几款软件。
　　
　　1、KFW傲盾服务器版
　　官方主页：http://www.chinakfw.com/
　　适用领域：各种网站、信息平台、Internet服务等应用平台。
　　推荐理由：提供各种企业级功能，功能强大、齐全，价格低廉。
　　产品点评：
　　DDoS攻击（Distribute Denial of Service 分布式拒绝服务攻击）是近年来流行的一种危害极大的网络攻击方式，而KFW傲盾防火墙所采用的特有专利技术，使得防火墙本身是不受DoS攻击的，这也是KFW傲盾防火墙能够有效防护需要保护的站点免受DoS攻击的先决条件。
　　传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝，KFW傲盾防火墙采用独创的《DataStream Fingerprint Inspection》数据流指纹检测技术，可以确保每个进入的数据包都是合法有效的，一旦确认连接的合法性防火墙就会信任这个连接，不在对后续包进行复杂的处理，从而大大提高了效率。
　　另一方面，KFW傲盾防火墙系统通过在安全规则上的设置对数据包的SYN/ACK等标志位进行合法性检测和判断，防止不法攻击者利用常用服务的低端口与内部主机的高端口的连接，从而攻击内部主机。而目前国内包括国外的许多防火墙系统都无此防护功能。

KFW傲盾服务器版

　　产品描述：
　　KFW傲盾防火墙系统是一套全面、创新、高安全性、高性能的网络安全系统。它根据系统管理者设定的安全规则（Security Rules）把守企业网络，提供强大的访问控制、状态检测、网络地址转换（Network Address Translation）、信息过滤、流量控制等功能。提供完善的安全性设置，通过高性能的网络核心进行访问控制。
　　

　　2、诺顿防火墙企业版
　　官方主页：www.symantec.com
　　适用领域：企业服务器、电子商务平台及VPN环境。
　　推荐理由：此款防火墙软件是业内第一个通过支持高级加密标准（AES）算法来确保最高安全和性能的防火墙。可以提供安全故障转移和最长的正常运转时间等。
　　产品点评：
　　软件厂商“赛门铁克”在安全方面的影响力自然不用多说，旗下的诺顿个人杀毒软件、企业杀毒软件等产品，在用户心中都享有不错的口碑。这款软件防火墙采用经过验证的防火墙管理维护、监测和报告来提供细致周到的周边保护，其灵活的服务能够支持任意数目的防火墙，既可以支持单个防火墙，也可以支持企业的全球范围防火墙部署。
　　它使用符合要求的安全工具和领先的安全专业技术为客户提供世界优秀的分析，帮助企业确保消除最可能被利用的漏洞。同时，软件还提供了包括 Windows NT Domain、Radius、数字认证、LDAP、S/Key、Defender、SecureID 在内的一整套强大的用户身份验证方法，使管理员可以从用户环境中灵活地选择安全数据。

诺顿防火墙企业版

　　产品描述：
　　这里介绍的是诺顿防火墙 V8.0 企业版，它是为 Windows NT/2000 和 Solaris 而开发的安全产品。软件是一个全封包检测型防火墙，集成了第三代安全代理和包过滤技术，能够提供非常好的安全，并且允许制定灵活的策略控制流入和流出量。除了在网络堆栈的所有层次上保护企业外，该软件还配置了直观的跨平台管理器、多处理器/多流性能、灵活的身份验证方法、初始的和持续的网络及操作系统加固，同时也内置了阻挡拒绝服务（DoS）攻击和综合的、混合性威胁的功能。
　　

　　3、冰盾专业抗DDOS防火墙软件
　　官方主页：www.bingdun.com
　　适用领域：传奇服务器、奇迹服务器、网站服务器、游戏服务器、音乐服务器、电影服务器、聊天服务器、论坛服务器、电子商务服务器等多种主机服务器。
　　推荐理由：具备较好的兼容性、稳定性和增强的抗DDOS能力。
　　产品点评：
　　冰盾抗DDOS防火墙（Bingdun Anti-DDOS Firewall），采用国际领先的生物基因鉴别技术智能识别各种DDOS攻击和黑客入侵行为，其在众多方面表现出了独有的特色。
　　比如其在系统资源占用方面较低，它是工作在系统的最底层，充分发挥CPU的效能，仅耗费少许内存即获得惊人的处理效能；这对于服务器庞大的数据访问及处理任务来说，是非常喜人的。
　　在防黑客入侵方面，软件可智能识别Port扫描、Unicode恶意编码、SQL注入攻击、Trojan木马上传、Exploit漏洞利用等2000多种黑客入侵行为并自动阻止；强大的入侵行为识别以及自身强有力的安全保护，使得此款软件具有较高的安全性及可用性。

冰盾专业抗DDOS防火墙软件

　　产品描述：
　　从软件官方网页获悉，这是全球先进款具备IDS入侵检测功能的专业级抗DDOS防火墙。整个产品分为标准版、网游版、专业版、高级版以及至尊版五个版本，各版本适用于不同的应用场全，充分满足了不同用户的需要，这里介绍的是其高级版。
　　高级版冰盾防火墙内置了IPS入侵防御模块，该模块可以智能识别2000多种黑客入侵行为并加以阻止，防止了端口扫描、SQL注入、木马上传和缓冲溢出等黑客攻击行为，全面保护主机服务器不被黑客入侵。适合防护遭受多种DDOS攻击且容易被黑客入侵的主机服务器，但限制为8000个有效的连接数（不含攻击连接），同时支持3000人同时在线浏览，可满足绝大多数网站服务器的防护需求。
　　

　　4、卡巴斯基软件防火墙 Anti-Hacker
　　官方主页：www.kaspersky.com.cn
　　适用领域：可广泛用于垃圾邮件防范、MS ISA服务器、Linux/Unix服务器等大中型企业网络环境。
　　推荐理由：集中管理工具、全面的企业授权方案、以及附加的丰富功能。
　　产品点评：
　　卡巴斯基公司是全球数据安全和反病毒技术的领导者。其创新的许多技术已成为现代反病毒软件的基本技术。著名的卡巴斯基反病毒软件自开发到现在，被世界各国的著名计算机专业媒体及反病毒专业评测机构誉为病毒防护类产品中的非常好的产品。
　　具体到产品本身来说，在软件中会包括一套企业集中安装、配置、监控的管理工具，这对于企业用户针对实际网络环境的配置调整是非常有用的。
　　评定一款防火墙软件是否优秀，首要关注的就是其是否能可靠的拦截病毒及恶意入侵；与其它软件防火墙产品不同的是，卡巴斯基公司更注重防护的品质等级，其号称的“全球最高的病毒检出率”足以证明产品的高可用性。
　　此软件的另一特色就是病毒库更新的及时。有关数据显示目前每天都有约50种新病毒出现，因此一款安全软件的病毒数据库的更新频率越高，用户的数据安全越有可靠的保障。卡巴斯基公司的病毒数据库每天更新两次，用户可根据自己的需要任意预设软件的更新频率。
　　此款产品唯一不足的是，其无论是杀毒还是监控，都会占用较大的系统资源。

卡巴斯基软件防火墙 Anti-Hacker

　　产品描述：
　　这是卡巴斯基公司出品的一款非常优秀的网络安全防火墙，它和著名的杀毒软件AVP是同一个公司的产品。软件可保护你的电脑不被黑客攻击和入侵，全方位保护用户的数据安全；所有网络资料存取的动作都会经由它对用户产生提示，存取动作是否放行都由用户决定，而且可以抵挡来自于内部网络或网际网络的黑客攻击。

　　四、后记
　　为了更有效率的对付网络上层次不穷的攻击手段，防火墙领域也派分出几种防御架构，软件防火墙便是其中之一。在实际的产品选择中，判定一款软件防火墙的好坏，很大程度上要取决于其是否具备灵活的配置选项，以及强有力的入侵检测功能；因为只有这样才能保证在复杂的网络环境中数据的完整性。
　　但应该要认清的是，软件防火墙自身属于运行于系统上的程序，不可避免的需要占用一部分CPU资源，而且由于操作系统及软件防火墙自身可能存在的安全漏洞，也会对防火墙软件的安全防护带来一定的影响；因此对网络安全性较高的企业用户来说，完美的解决方案就是硬件防火墙与软件防火墙的冗余调度。