服务器网关防火墙

    如果是上面说的第二种情况，用服务器来做网关的话，就需要一款功能强大而且能够对整个局域网实施保护的专业防火墙软件，这类软件并不多，微软的 ISA Server 2004 算是非常出色的一款代表产品：

ISA Server 2004

功能简介：

    继ISA Server 2000之后，微软发布了最新的ISA Server 2004，不管是相对于它的前身ISA Server 2000，还是相对其他防火墙或代理服务器产品，ISA Server 2004都是一个值得赞誉的产品，现在，微软不仅仅以软件的形式提供ISA Server 2004，而且有了以硬件形式出现的第三方产品，比如HP ProLiant DL320。

    当今的网络安全已成为必须重视的一个问题，微软的ISA 2004在用于小型单位或个人构建安全高效的网站时很方便适用（针对有独立的服务器而言）。ISA 2004 比 ISA 2000 的功能上改进了很多，ISA 2004 引入了多网络支持、易于使用且高度集成化的虚拟专用网络配置、已扩展且可扩展的用户和身份验证模型以及改进的管理功能。ISA 2004 提供了几种适用的网络部署方案可以很方便的解决许多网络部署问题，我们强烈推荐ISA2004，在网关上安装之后，局域网的其他电脑就不需要安装其他防火墙了，非常好用。

新增功能：

1. 多网络

    多网络配置：可以配置一个或多个网络，并使每个网络都与其他网络具有明确的关系。
    独特的每个网络策略：使用 ISA 服务器新增的多网络功能，可以通过限制客户端（甚至组织内部的客户端）之间的通讯来防止网络受到内部和外部的安全威胁。
    路由和 NAT 网络关系：可以使用 ISA 服务器并根据所需要的访问和通讯来定义网络之间的路由关系。

2. 安全和防火墙策略

    支持需要多个主连接的复杂协议：包括许多流媒体、语音应用程序和视频应用程序所需要的协议。
    自定义的协议定义：可以控制为创建防火墙策略规则的任何协议而使用的源端口号和目标端口号。
    身份验证：可以使用内置的 Windows、RADIUS、RSA SecurID 身份验证或其他名称空间对用户进行身份验证。
    网络对象：可以定义网络对象，其中包括计算机、网络、网络集、地址范围、子网、计算机集和域名集。
    防火墙策略规则代表有序的列表：防火墙策略规则代表有序的列表，其中连接参数将首先与列表中最上面的规则进行比较。
    Outlook Web Access 发布向导：提供为 Exchange 服务器的 Outlook Web Access 创建安全套接字层 (SSL) 虚拟专用网络 (VPN) 的步骤。
    FTP 支持：可以访问在其他的端口号上进行侦听的 Internet 文件传输协议 (FTP) 服务器，，而不需要在客户端或 ISA 服务器计算机上进行特殊的配置。
    服务器发布规则的端口重定向：可以在一个端口号上接收连接，而将请求重定向到发布的服务器上的另一个端口号。
    安全的 Web 发布：可以将服务器放置在公司网络或外围网络中防火墙的后面，并安全地发布其服务。
    HTTP 1.1 支持：与上游服务器连接时，ISA 服务器是 HTTP 1.1 客户端。

3. 虚拟专用网络

    VPN 管理：ISA 服务器包含一种完全集成的虚拟专用网络机制，该机制基于Server 2003/2000。
    对 VPN 的状态筛选和检查：由于 VPN 客户端配置为独立的网络，因此可以为 VPN 客户端创建单独的策略。
    Secure NAT：防火墙策略引擎有差别地检查来自 VPN 客户端的请求，对这些请求进行状态筛选和检查，并根据访问策略动态地打开连接。
    通过站点到站点的 VPN 隧道进行状态筛选和检查：ISA 服务器针对通过站点到站点的 VPN 连接移动的所有通讯引入了状态筛选和检查。
    VPN 隔离控制：可以在独立的网络上隔离 VPN 客户端，直到它们满足预定义的一组安全要求。
    对站点到站点 VPN 链接的 IPSec 隧道模式支持：ISA 服务器通过允许将 IPSec 隧道模式用作 VPN 协议来提供站点到站点的链接支持。
    VPN 监视和日志记录：可以监视 VPN 客户端和远程 VPN 网络的活动，就像监视其他任何 ISA 服务器客户端的活动一样。

4. 监视

    仪表板：视图汇总了有关会话、警报、服务、报告、连接性以及常规系统运行状况的监视信息。
    在日志查看器中进行实时监视：可以实时地查看防火墙和 Web 代理日志。
    内置日志查询（筛选）：可以使用内置的日志查询工具来查询日志文件。
    会话的实时监视和筛选：可以查看所有活动的连接。
    连接性验证程序：通过从 ISA 服务器计算机上使用连接验证程序定期监视与特定计算机或统一资源定位器 (URL) 的连接，可以验证连接性。
    报告发布：可以配置 ISA 服务器报告任务，以便自动将报告的副本保存到本地文件夹或网络文件共享中。
    记录到 MSDE 数据库：日志现在可以存储为 MSDE 格式。

5. 插件

    每条规则基础上的 HTTP 筛选：ISA 服务器的 HTTP 策略使得防火墙可以执行深入的 HTTP 状态检查（应用程序层筛选）。
    阻止对所有可执行内容的访问：可以配置 ISA 服务器的 HTTP 策略阻止对 Windows 可执行内容的所有连接尝试（无论在资源上使用什么文件扩展名）。
    将 HTTP 筛选应用于所有 ISA 服务器客户端连接：ISA 服务器可以使用 MIME Enter（对于 HTTP）或文件扩展名（对于 FTP）来阻止基于 Web 代理客户端的 HTTP 连接或 FTP 连接访问内容。
    基于 HTTP 签名控制 HTTP 访问：可以创建 HTTP 签名，并将其与请求 URL、请求头、请求正文、响应头和响应正文进行比较。
    强制实现从完整 Outlook MAPI 客户端的安全 Exchange RPC 连接：使用 ISA 服务器的 RPC 策略，可以阻止所有未加密的 Outlook MAPI 客户端连接。
    FTP 策略：ISA 服务器的 FTP 策略可以配置为允许用户使用 FTP 进行上载和下载，或者可以限定仅允许用户使用 FTP 进行下载。
    链接转换：ISA 服务器包含一项链接转换功能，以便您可以为内部计算机名称创建定义词典，使其映射为众所周知的名称。
    对 IP 选项的精细控制：可以很精细地配置 IP 选项，仅允许您需要的 IP 选项，同时禁止其他所有选项。

    在LINUX操作系统上的防火墙软件也很多，有些是商用版本的防火墙，有的则是完全免费和公开源代码的防火墙。大多数LINUX教程都提到了如何在LINUX平台中使用IPCHAINS来构筑防火墙。

IPCHAINS

简介：

    IPCHAINS 是 Linux 下的防火墙软件，其源码可以免费获得，在REDHAT、蓝点的最近几个版本中都带有该软件。IPCHAINS 被用来安装、维护、检查Linux内核的防火墙规则，完成这些只需要一个叫 IPCHAINS 的公开源码的软件包，它是由 Paul “Rusty” Russell 提供的。这个软件具备了许多商业防火墙产品的特征：允许自定义网络通信量的流向，及哪些访问者可以获准进出。IPCHAINS 有两种运行方式：代理服务器和网络地址转换器。前者接收来自受防火墙保护的网络内部机器的数据流，使用用户定义的规则对其进行过滤处理，然后发送给外部网络。

主要特色：

    IPCHAINS 本质上是包过滤器。它检查到达网络接口的 IP 包，根据事先定义好的规则进行修改，然后再转发给其它接口。IPCHAINS 的名称来自其工作特点。它能够创建合理过滤步骤，根据用户定义的规则来处理包。这些步骤被”链接”在一起来创建包处理的完整规则体系。这个处理”链条”可以与具体的 IP 地址，或者网络地址相结合。最简单的情况下，IPCHAINS 只执行三种策略：接受、和拒绝。它能接受来自指定 IP 地址或网络的所有包，否决策略丢弃来自特定地方的所有包。拒绝策略则丢弃来自指定源头的包，并且通知该源头其请求的连接被拒绝。

NAI Gauntlet

简介：

　　这是一种基于软件的防火墙，支持NT和UNIX系统，目前的最新版本是Gauntlet Firewall 2.1 for NT/UNIX。
　　
主要特色：
　　
    作为最高类型——基于应用层网关的Gauntlet防火墙，集成了NT的性能管理和易用性；应用层安全按照安全策略检查双向的通讯。具有用户透明、集成管理、强力加密和内容安全、高吞吐量的特性。可应用于Internet、企业内部网和远程访问。Gauntlet防火墙具有友好的管理界面，其基于Java或NT环境，可以运行在Web浏览器中，支持远程管理和配置，可从网络管理平台上监控和配置，如NT Server和HP OpenView。 Gauntlet还支持通过服务器、企业内部网、Internet来存取和管理SNMP设备。Gauntlet防火墙支持流行的多媒体实时服务，如Real Audio/Video、Microsoft NetShow、VDOlive。
　　
    Gauntlet防火墙支持众多的标准协议如终端服务（TELNET、rlogin)、文件传送（FTP）、电子邮件（SMTP、P0P3）、WWW(HTTP、SHTTP、SSL、Gopher) 、Usenet新闻（NNTP）、域名服务（DNS）、简单网络管理协议（SNMP）、Oracle SQL*Net、RealAudio/Video 、Xing、NetShow、VDOLive、LDAP、PPTP。

Firestarter

简介：

    Firestarter防火墙是一款非常优秀的基于GUI图形用户界面下的，完全免费的自由软件，它为中小型Linux网络的系统管理员提供了良好的安全服务，适用于单机工作站、服务器、小型网络服务器和家用Llnux系统平台的安全防护，它能胜任在Linux下一般的系统安全任务。

主要特色：

    它的使用简单但功能强大：如果你的Linux系统中安装的声卡、并且在Firestarter中进行了配置，那么在遭到系统入侵时它还会发出报警铃声。Firestarter运行时只占用很少的系统资源，它为Linux平台提供了快捷有效的安全防护功能。并且在系统出现异常情况的时候能及时的向管理员通知及相关信息、以帮助系统管理员及时的对系统作出相应的处理和反应。Fire starter防火墙在程序运行后在系统桌面的任务条菜单处，易于迅速的启动和关闭网络中指定的计算机。Firestarter的安装十分容易，有安装向导引导，即使是Linux软件不熟悉的用户也能通过向导轻松完成防火墙的安装和设置。另外，Firestarter的README文件里面的注释非常清楚，方便了用户的修改和重新定义某些参数。就像Firestarter的开发者Tomas Jounonen所说的它是一个“All-in-one”的Linux防火墙。