有這樣一個(gè)問(wèn)題：“我不知道該為Windows服務(wù)器選擇什么防火墻”。事實(shí)上，人們經(jīng)常就這個(gè)問(wèn)題向我咨詢，然而我自己也沒(méi)能找到最好的答案。很多次，即便服務(wù)器處于硬件防火墻保護(hù)之內(nèi)時(shí)，我仍然喜歡在服務(wù)器自身上安裝額外的軟件防護(hù)。因?yàn)橛袝r(shí)候，我的服務(wù)器可能位于比較偏遠(yuǎn)的地方，沒(méi)有硬件級(jí)防火墻來(lái)保護(hù)它們，這時(shí)我就得完全依賴于在服務(wù)器上安裝軟件來(lái)保證它們的安全。 聽(tīng)起來(lái)，這似乎比較簡(jiǎn)單。然而事實(shí)上，我一直在用足夠的耐心等待著有一天能夠找到完美的Windows防火墻，這樣我就可以不用跟那些向我咨詢的人解釋為什么很多時(shí)候理想的選擇是部署了Iptables的Linux系統(tǒng)。但是我想我的等待是徒勞的，很多時(shí)候我都以為我終于找到了最好的Windows防火墻解決方案，然而那只是我又一次失望的開(kāi)始。 TCP/IP過(guò)濾器的速度的確非?？?，但它的優(yōu)點(diǎn)也僅局限于此，因?yàn)楫?dāng)你使用TCP/IP過(guò)濾器時(shí)，你肯定還需要添加其他層的保護(hù)。 IPSec是不錯(cuò)的，當(dāng)你挑選出適用的規(guī)則、過(guò)濾條款后，你可以通過(guò)圖形界面或者命令行界面來(lái)設(shè)置，但是無(wú)論是圖形界面還是命令行界面都容易把人搞糊涂。最后，你終于配置完成，并成功讓它運(yùn)行起來(lái)——這時(shí)，你將會(huì)發(fā)現(xiàn)網(wǎng)絡(luò)變慢了，因?yàn)镮PSec過(guò)濾“包”的時(shí)候，它本身就能讓網(wǎng)絡(luò)變慢10%~15%。在這里順便再說(shuō)說(shuō)其他令我憎恨IPSec的事情：它是以Windows事件的方式來(lái)記錄日志的——當(dāng)你想要觀看你的防火墻日志的時(shí)候，你需要點(diǎn)擊那些事件日志，然后找出你想要的東西——這已經(jīng)足夠讓我放棄使用它了。 Internet Connection Firewall(ICF)在Windows Server 2003中稍微好一點(diǎn)，它有不錯(cuò)的性能，并且在規(guī)則方面有一定彈性。當(dāng)Windows Server 2003 SP1來(lái)到以后，新的Windows防火墻將變得更好。Windows防火墻是個(gè)大的進(jìn)步，而且它具備群組策略。不幸的是Windows防火墻不允許你針對(duì)發(fā)出端設(shè)置任何規(guī)則，此外，它還需要開(kāi)啟遠(yuǎn)程管理和通訊服務(wù)——這些都是我平時(shí)不需要的。 可能有人會(huì)問(wèn)RAS怎么樣呢？你可能注意到，它具備包過(guò)濾功能，并且事實(shí)上它還為其他工具提供了不錯(cuò)的API接口以便對(duì)過(guò)濾器進(jìn)行配置。但是，這些過(guò)濾器無(wú)法控制底層協(xié)議，比如ICMP，所以實(shí)際上它沒(méi)多大用處。 還有許多個(gè)人版防火墻可以非常好的運(yùn)行于桌面系統(tǒng)，但是它們都無(wú)法達(dá)到服務(wù)器用戶的需要。雖然在它們當(dāng)中，某些產(chǎn)品明顯超出同類(lèi)產(chǎn)品的水平，但是所有個(gè)人版防火墻的共同的問(wèn)題是：簡(jiǎn)單的記錄工具、緩慢的執(zhí)行效率，而最糟糕的是，大多數(shù)個(gè)人版防火墻在數(shù)據(jù)流通量非常大的時(shí)候都有可能造成系統(tǒng)藍(lán)屏。 個(gè)人版防火墻的這些問(wèn)題源自它們與Windows的結(jié)合性上。它們通過(guò)多種途徑來(lái)截取信息包，而這也造成了它們的一些缺陷。某些個(gè)人版防火墻產(chǎn)品涉及到攔截系統(tǒng)內(nèi)核信息，或改寫(xiě)硬件驅(qū)動(dòng)的問(wèn)題。由于這種工作方式，你最好祈禱它們的產(chǎn)品是穩(wěn)定的，否則將經(jīng)?？吹剿{(lán)屏現(xiàn)象，你瞧，當(dāng)流通量比較大的時(shí)候我們的確經(jīng)常看到系統(tǒng)藍(lán)屏。 另一個(gè)問(wèn)題是，由于這些個(gè)人版防火墻的工作模式，所以它們通常會(huì)發(fā)生排斥，所以不要嘗試同時(shí)在PC里安裝兩套個(gè)人版防火墻，服務(wù)器也是如此。否則，你可能會(huì)遇到一些問(wèn)題。個(gè)人防火墻還不適合無(wú)人值守的服務(wù)器，因?yàn)榇蠖鄶?shù)個(gè)人防火墻在攔截包的時(shí)候都會(huì)彈出一個(gè)對(duì)話框，讓用戶選擇如何處理/操作。一些防火墻我還發(fā)現(xiàn)無(wú)法通過(guò)系統(tǒng)托盤(pán)圖標(biāo)順利訪問(wèn)終端業(yè)務(wù)。 我最后一次以為已經(jīng)找到了Windows防火墻的最好解決方案是在我嘗試給Windows服務(wù)器安裝ISA Server 2004的時(shí)候。讓我驚奇的是，它運(yùn)行得非常好。它的功能非常完善，在防護(hù)范圍方面跟個(gè)人版差不多，但它運(yùn)行更穩(wěn)定。我發(fā)現(xiàn)它只有一個(gè)問(wèn)題：ISA Server 2004的許可授權(quán)的價(jià)格比服務(wù)器本身還要貴。這使得它很難被用戶接受。 我現(xiàn)在該怎么辦？我覺(jué)得我如果自己花錢(qián)購(gòu)買(mǎi)一個(gè)小型硬件級(jí)防火墻來(lái)保護(hù)我的服務(wù)器——僅僅因?yàn)槲矣袝r(shí)要離開(kāi)它一小段時(shí)間——那實(shí)在是非常瘋狂的事情。 不是所有的希望都破滅了，至少，微軟正在努力打造一個(gè)新的過(guò)濾平臺(tái)WFP，在不久即將來(lái)到的“長(zhǎng)角(Longhorn)”系統(tǒng)上。該版本的實(shí)際發(fā)布日期可能是在未來(lái)的一、兩年里。WFP是一個(gè)集成包過(guò)濾技術(shù)于操作系統(tǒng)之內(nèi)的解決方案。 未來(lái)，第三方廠商的防火墻很可能只是簡(jiǎn)單的接入到WFP體系中，并提供配置規(guī)則的功能而已。WFP計(jì)劃支持新TCP/IP協(xié)議的多個(gè)層，并且可以在通信流被解析之前就進(jìn)行過(guò)濾。WFP甚至還支持IPv6。WFP聽(tīng)起來(lái)不錯(cuò)，但是它仍然無(wú)法在今天就幫助我們，它離我們還有些距離。并且，它是否有效并穩(wěn)定還需要我們?cè)趯?shí)際使用中觀察。 你可能認(rèn)為答案過(guò)于簡(jiǎn)單了，當(dāng)然不。這些仍然讓我們感到適當(dāng)?shù)捏@訝。目前，Windows服務(wù)器防火墻完美的解決方案是不存在的。