各类防火墙测试
来源:互联网 发布:马哥linux全套 网盘 编辑:程序博客网 时间:2024/05/12 11:40
2007年已经2个多月了,回首上年和本年初的网络安全市场可谓是风风火火,再创新高。不仅是杀毒软件,在防火墙的竞争上也非常激烈;很多老品牌陆续更新,包括著名的厂商ZA,OP,Kerio等等;还有出来历史不长的新产品,包括LNS,Comodo,Jetico等等;甚至有些防火墙最近几个月才诞生,包括界面漂亮,典雅的Ashampoo Firewall Pro和PC Tools Firewall Plus等。
本人用过的防火墙不算很多,但是也能根据我的经验来判断防火墙的好坏。我所使用过的防火墙有:ZA 7,OP 4,Kerio 4,Jetico 1,KIS 6.0.1.411,Comodo,LNS 2.05,CA Personal Firewall 2007,Ashampoo Firewall Pro,PC Tools Firewall等。。。一些防火墙我并不想试,不是因为它们不好的原因,而是跟我的电脑不兼容,容易出现蓝屏什么的,而且我很珍惜我的本本,故决定不测试一些防火墙。
测试条件:
硬件:
OS 名称Microsoft Windows XP Professional(补好所有补丁)
版本 5.1.2600 Service Pack 2 内部版本号 2600
OS 制造商 Microsoft Corporation
处理器 x86 Family 6 Model 14 Stepping 8 Genuine Intel ~1662 MHz
系统模式 Joy book S73
系统类型 基于 X86 的 PC
总的物理内存 512.00 MB
总的虚拟内存 2.00 GB
软件:
Office 2003 精简版(补好所有补丁)
一些笔记本驱动程序
System Safety Monitor Free版
其它的就不说了,跟安全类没有关系。
测试方案:
Leaktest:
Leaktest 即漏洞测试,模拟木马通过URL参数启动,内存注入,OLE控制等方式,绕过你的FW/HIPS的测试;当然我们在这里特指Firewall即防火墙。常见的Leaktest
有:Leaktest,FireHole,Outbound,Copycat,DNSTester,Breakout和PCFlank等。现在的防火墙逐渐向立体的方式走去,单纯的防火墙已经不多了,因为在杀软对新木马无能为力的时候,Firewall和Hips几乎成为了最后的防线;一般用户是不会装Hips的,毕竟它的复杂性需要有一定电脑基础的人才能够正确的应用以发挥出最好的功效;那么Firewall就必须走向这条道路。加上木马躲避防火墙的招数越来越多,Leaktest就成为了测试防火墙外联的一个重要的标准。Leaktest本身无害,只是通过模仿木马外联的手段进行测试而已。
攻击防御:
攻击实际上不好说明定义,所以给大家列2种最普遍的攻击:
扫描:扫描是黑客的初始信息收集过程的一部分。在黑客能够攻击系统之前,他们需要收集关于该系统的信息,如网络布局、操作系统类型、系统可用服务、系统用户等。黑客可以根据所收集的信息推断出可能的弱点,并选择对选定目标系统的最佳攻击方法。
拒绝服务攻击(DOS攻击):通常,黑客瞄准特定系统,闯入系统以便将其用于特定用途。那些系统的主机安全性经常会阻止攻击者获得对主机的控制权。但进行拒绝服务攻击时,攻击者不必获得对系统的控制权。其目标只是使系统或网络过载,这样它们就无法继续提供服务了。拒绝服务攻击可以有不同的目标,包括带宽消耗和资源缺乏。
攻击防御应该是每个个人防火墙必备的模块,这就是防火墙防外的功能,而且攻击是利用Windows的漏洞和开放的端口进行攻击的。毕竟每天都会出现大大小小的攻击骚扰我们,甚至会使我们断网,恶意留下后门等。传统的防火墙都具有此模块,但是新的防火墙却很少见到用户可管理的攻击检测模块了。为什么?因为传统的攻击已经被Windows的一个个补丁修复了,并且在Windows SP2推出后有了Tiny给OEM的Windows防火墙,使SP2从系统开始就有了基本的防护;现在开始是蠕虫攻击了,已经归类为杀软+防火墙的双重考验了。木马是最流行的,所以所有的防火墙都加强了程序控制,甚至只有程序控制。
端口测试:
类似于攻击防御的一个模块,是用来检测是否有开放的端口的。一个端口就是一个潜在的通信通道,也就是一个入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息。进行扫描的方法很多,可以是手工进行扫描,也可以用端口扫描软件进行。
兼容性:
兼容性也是很重要的一个抉择防火墙好坏的条件之一。可以分为2类:软件无法使用和软件冲突问题。
第一种:一般很少发生,所以不讲。(跟系统的结合问题)
第二种:所谓软件冲突,是指两个或多个软件在同时运行时,程序可能出现的冲突,导致其中一个软件或两个软件都不能正常工作。
软件冲突在各种用户电脑终端上的表现和反应都是不一样的。有的从安装开始,有的是在运行中,情况很复杂,具体表现难说。具体情况都不一样,不同机器不一样,同一个机器,不同使用状态下也不一样;可以肯定的是,有可能出毛病,比如:电脑运行缓慢,某个软件不能正常使用,电脑死机等等。
对于出现软件冲突的原因,可能是软件厂商之间缺乏沟通,在程序设计上有互相冲突的地方,也有可能是出于竞争的考虑,故意给对方设置障碍。
如果是前者,那就形成一种无意的软件冲突;而如果是后者,就构成一种恶意的软件冲突。事实上,很多软件冲突都是厂商恶意为之的。
一般来说,大部分的软件冲突都在同一种类型的软件上面出现,特别是与系统相关的软件,和系统的关系越近会冲突几率就越大。防火墙就是这样一类的安全软件,所以要注意和其它软件的兼容性如何,不要导致鱼死网破的局面。
一些Firewall的兼容性的确做的不是很好,可能是它们是新出来的产品,或者是使用的技术跟其它软件冲突(如一些API钩子或者hook,还有内存注入修改)。这时就要注意是否更换软件或者是防火墙了。
这些都是易用性的原则,一个软件要做到易用就必须做到上面的10点,否则初级用户会觉得很无奈。当然安全性和易用性会产生冲突,所以一些高手会选择安全而非易用,这也是为什么一些很复杂和基础的防火墙会诞生的原因,他们想保持原防火墙的样式而不至于退化。
硬件要求:
一个产品对于硬件的要求度不能够太高,要适应现在的系统的硬件趋势和改变以进行调整。一些功能强大的防火墙因为防护全面,包括检查Cookie等,检查的限度就会增大,各种资源占用在使用相应被控制的软件时(内存,CPU)就会飙上去,这对于硬件不佳的用户简直是噩梦。所以一个产品要受到用户的欢迎,必须做好在资源占用上的控制,人人都喜欢资源低的防火墙,有时候这些比功能强大更重要。
作为现在的普遍的硬件和系统状况,我列一个标准,仅供参考:
RAM:256-512M,高资源版1G;
CPU:至少1 GHz,现在装Windows XP SP2的硬件配置至少高过这个;
显卡:兼容16色模式的;
系统:从Windows 2000至Windows XP SP2 Pro 或者 Home Edition的,甚至推出Vista ×64版本的。
功能简介:
这个是防火墙的基本说明,忽略不讲。
自我保护:
现在的木马因为杀毒软件的不断更新和技术进步导致不能任意发展,所以木马作者要开始想新的方法来对付杀毒软件,那么就是写函数结束杀毒软件的进程和服务,这样木马就可以猖獗了。。。
杀软公司发现这些问题后,开始了自我保护之旅;对于进程和本身程序文件的保护在现在的互联网战争不可缺少,否则就是绝对的受害方。自我保护的方式有多种,如卡巴的双进程保护:用两个相互独立的进程相互保护(卡巴的保护方式)。启动主进程时,同时启动保护进程;然后两者不断检测对方是否在运行,如果对方被中止则立即启动;只有主程序被正常行为中止时,先停止监视,退出保护程序,最后退出主程序。这样的话可能会加大系统资源的占用率。或者DLL注入关键进程也可以达到此效果,不过可能不稳定。
所以在选用防火墙的时候,也要注意程序是否有自我保护,如果没有就应该注意了,尽量不要使用它们,因为木马会利用这个缺陷来绕开防火墙的。或者可以使用专门或者拥有保护进程的软件,如SSM等来保护进程。
MD5验证:
(1)ZA 7系列最新版本:ZoneAlarm 7.0.302 Security Suite为了发挥出最好的效果,故使用了SS版本,关闭反间谍和反病毒。
Leaktest:ZA 7系列的Leaktest表现非常好,达到了满分,故给予10分。
★★★★★★★★★★ Pass
攻击防御:ZA 7的攻击防御经简单测试也有很不错的表现,故给予9分。
★★★★★★★★★ Pass
端口测试:ZA 7的端口测试在高安全规则下完全通过,故给予9分。
★★★★★★★★★ Pass
兼容性:ZA 7的兼容性相对来说也不错,跟许多软件的冲突都解决了,但是也诞生了一些新的问题,所以给予8分,也可以Pass。
★★★★★★★★ Pass
易用性:ZA 7仍然保持了它的易用性,不过有些功能则相对来说复杂了一些,端口不需要设置,程序设置简单明了,各种功能集合的很好,个人用户使用起来并不吃力。故给予8.5分的成绩。
★★★★★★★★☆ Pass
硬件要求:ZA 7对于硬件的要求比较高,实际上使用起来要求更高,我的512M内存觉得还不是很够用;特别是在使用浏览器时,在网络控制打在中等时,vsmon.exe竟然飙到了70M的内存,不过CPU一直保持在2%左右;但是可能是SS版的原因,所以给予6分的成绩。
★★★★★★ Normal
自我保护:ZA的自我保护做的不错,试过非暴力终止的方法大部分都可以通过,所以给予7.5分的成绩。
★★★★★★★☆ Normal
MD5验证:ZA以前的版本就有了MD5验证,现在新版本更加强了控制,所以给予Pass。
Pass
其它功能:增加了更严的程序控制,还有“键盘记录”控制和“可疑活动”控制。
网速延迟:中+
总体评价:★★★★★★★ 8颗星 Pass
(2)OP的最新版本:Outpost Firewall Pro 4.0.1007.7323 (591)
Leaktest:OP 4系列的Leaktest表现很不错,达到了6550分,故给予8分。
★★★★★★★★ Pass
攻击防御:OP 4的攻击防御经简单测试发挥出非常好的功效,故给予10分。
★★★★★★★★★★ Pass
端口测试:OP 4的端口测试在规则精灵规则下完全通过,故给予10分。
★★★★★★★★★★ Pass
兼容性:OP 4的兼容性相对来说比ZA要好,跟许多软件没有冲突,但是跟少数杀软有不适应状况(问题出自OP),所以给予9分。
★★★★★★★★★ Pass
易用性:OP要比ZA难设置一些,但是它的灵活性很高,而且不设置也可以发挥出很好的功效;一些高级功能需要用户比较深的功力,这些高级功能对于系统的安全起到非常重要的影响,所以只给予7分。
★★★★★★★ Normal
硬件要求:OP 4 对于硬件的要求也比较高,但是跟ZA 7比起来还是相对好一点,我的512M内存觉得勉勉强强;特别是在使用浏览器时,在网络控制打在中等时,outpost.exe竟然飙到了40M的内存,不得不关掉它的一些插件,内存占用就下来了。不过CPU一直保持在2%左右;所以给予6分的成绩。
★★★★★★ Normal
自我保护:OP的自我保护做的很不错,试过非暴力终止的方法都可以通过,甚至一些暴力方法也可以预防,所以给予9分的成绩。
★★★★★★★★★ Pass
MD5验证:OP以前的版本就有了MD5验证,所以给予Pass。
Pass
增加功能:出现了类似hips的功能,感觉很不错,希望能有发展。
网速延迟:中
总体评价:★★★★★★★☆ 8.5颗星 Pass
(3)Kerio的最新版本:Sunbelt Kerio Personal Firewall 4.3.248
Leaktest:Kerio 4系列的Leaktest表现不好,只达到了4825分,故给予5分。
★★★★★ Fail
攻击防御:Kerio 4的攻击防御经简单测试发挥出很好的功效,故给予9分。
★★★★★★★★★ Pass
端口测试:Kerio 4的端口测试在默认规则下完全通过,故给予10分。
★★★★★★★★★★ Pass
兼容性:Kerio 4的兼容性跟前面的防火墙比都要更好,大部分软件没有冲突,目前没有发现不兼容的情况,但是有一次频繁弹出窗口导致蓝屏,所以给予9分。
★★★★★★★★★☆ Pass
易用性:Kerio的包过滤设置需要用户的基本的端口了解能力,不过其它的功能都很不错并且不需要很大和复杂的设置,所以给予8分。
★★★★★★★★ Pass
硬件要求:Kerio 4 对于硬件要求不高,而且在不开“网络控制”的时候CPU占用可以忽略不计,内存占用只有14M左右,算是立体墙里面比较好的了,所以给予8分。
★★★★★★★★ Pass
自我保护:Kerio的自我保护做的也很不错,试过非暴力终止的方法大部分都可以通过,所以给7.5分的成绩。
★★★★★★★☆ Normal
MD5验证:Kerio以前的版本就有了MD5验证,所以给予Pass。
Pass
增加功能:具有基本的hips的功能,感觉很不错,对于木马防御含有帮助,希望能更新版本。
网速延迟:小
总体评价:★★★★★★★ 7颗星 Normal
(4)KIS的最新正式版本(非Vista):6.0.1.411(防火墙+主动防御)
Leaktest:KIS 6系列的Leaktest表现很好,甚至超过了OP,达到了7450分,故给予7.5分。
★★★★★★★☆ Normal
攻击防御:KIS 6的攻击防御经简单测试发挥出很好的功效,故给予9分。
★★★★★★★★★ Pass
端口测试:KIS 6的端口测试在高安全规则下完全通过,故给予8分。
★★★★★★★★ Pass
兼容性:KIS 6的兼容性相对来说还是不错的,但是听很少用户说还是存在了一些因为KIS问题导致的问题或者蓝屏,所以给予8分。
★★★★★★★★ Pass
易用性:KIS 6的包过滤设置需要用户的基本的端口了解能力,不过其它的功能都很不错并且不需要很大和复杂的设置,所以给予8分。
★★★★★★★★ Pass
硬件要求:KIS 6 对于硬件有一定要求,这个大家都是知道的,有时候主动防御还会飙高CPU,导致假死。不过总体来说CPU占用2%左右,内存20多M,给予7.5分。
★★★★★★★☆ Normal
自我保护:KIS 6的自我保护做的非常不错,试过非暴力终止的方法都可以通过,它是利用双进程保护的方式,所以给予9分的成绩。
★★★★★★★★★ Pass
MD5验证:KIS 6以前的版本就有了MD5验证,所以给予Pass。
Pass
增加功能:加强了主动防御的功能,使其能通过大量的Leaktest隐藏数据发送。
网速延迟:中+
总体评价:★★★★★★★★☆ 8.5颗星 Pass
(5) Comodo的最新正式版本:2.4.16.174(防火墙+初始hips)
Leaktest:Comodo系列的Leaktest表现异常突出,达到了9475分,通过了所有的测试,故给予10分。
★★★★★★★★★★ Pass
攻击防御:Comodo的攻击防御经简单测试发挥出很好的功效,故给予9分。
★★★★★★★★★ Pass
端口测试:Comodo的端口测试在默认安全规则下完全通过,故给予10分。
★★★★★★★★★★ Pass
兼容性:Comodo的兼容性相对来说还是很不错的,跟绝大部分的杀软和平常软件能够和睦相处,但是有时候hips会误报或者阻止正常的进程注入,所以要注意一下,给予9分。
★★★★★★★★★ Pass
易用性:Comodo的包过滤设置需要用户的基本的端口了解能力,但是作为SPI动态检测来说包过滤的威力就小一些了,不过其它的功能都很不错并且不需要复杂的设置,所以给予8.5分。
★★★★★★★★☆ Pass
硬件要求:Comodo对于硬件要求较小,这个大家都是知道的。但是有不少用户说cmagent.exe会飙到CPU100%,不过我没有遇到过。内存占用倒是不小,大概15—30M,所以给予8分。
★★★★★★★★ Pass
自我保护:Comodo的自我保护做的非常不错,试过非暴力终止的方法都可以通过,所以给予9分的成绩。
★★★★★★★★★ Pass
MD5验证:Comodo以前的版本就有了MD5验证,所以给予Pass。
Pass
增加功能:加强了主动防御的功能,使其能通过大量的Leaktest隐藏数据发送。
网速延迟:中总体评价:★★★★★★★★★ 9颗星 Pass
(6)LNS的最新版本:Look’N’Stop 2.05 SP3
Leaktest:LNS系列的Leaktest表现不怎么样,只达到了4800分,为Poor,故给予5分。
★★★★★ Fail
攻击防御:LNS的攻击防御经简单测试发挥出较好的功效,故给予8分。
★★★★★★★★ Pass
端口测试:LNS的端口测试在默认安全规则+部分规则下完全通过,故给予9分。
★★★★★★★★★ Pass
兼容性:LNS的兼容性可以说是很完美的,跟各类程序都可以完全的相处,应该是LNS的单纯管理的原因,故给予10分。
★★★★★★★★★★ Pass
易用性:LNS的包过滤设置需要用户的深入的协议等了解能力,甚至专家级的选择,不过因为规则包的原因,给予7分。
★★★★★★★ Normal
硬件要求:LNS对于硬件的要求非常小,内存仅仅600K,CPU占用可以不计,相当于没有装防火墙一样的好,所以给予10分的成绩。
★★★★★★★★★★ Pass
自我保护:LNS的自我保护做的不怎么样,试过很多的方法都可以结束进程,所以给予3分的成绩。
★★★ Fail
MD5验证:LNS的这个版本仍不支持MD5验证,所以给予Fail。
Fail
增加功能:修复了关机非常慢的问题。
网速延迟:无
总体评价:★★★★★★★☆ 7.5颗星 Normal+
(7)CA Firewall的最新正式版本:2007版(不带hips)
Leaktest:CA Firewall系列的Leaktest表现非常不理想,只达到了1000分,为None,故给予2分。
★★ Fail
攻击防御:CA Firewall的攻击防御经简单测试发挥出较好的功效,故给予8分。
★★★★★★★★ Pass
端口测试:CA Firewall的端口测试在高安全规则下完全通过,故给予8分。
★★★★★★★★ Pass
兼容性:CA Firewall的兼容性相对来说还是不错的,不过因为没有其它条件测试,所以给予8分。
★★★★★★★★ Pass
易用性:CA Firewall的包过滤设置需要用户的基本的端口了解能力,不过其它的功能都很不错并且只需要简单的设置,所以给予9分。
★★★★★★★★★ Pass
硬件要求:CA Firewall 对于硬件有一定要求,内存占用比较高,8个进程,大概50M左右,可以跟咖啡比一比了,所以给予6分。
★★★★★★ Normal
自我保护:CA Firewall的自我保护做的非常不错,试过非暴力终止的方法都可以通过,所以给予8分的成绩。
★★★★★★★★ Pass
MD5验证:CA Firewall以前的版本就有了MD5验证,所以给予Pass。
Pass
网速延迟:小
总体评价:★★★★★★★ 7颗星 Normal
(8) Ashampoo Pro的最新正式版本:Ashampoo Firewall Pro 1.14
Leaktest:Ashampoo Pro系列的Leaktest表现很差,只达到了500分,为None,故给予1分。
★ Fail
攻击防御:Ashampoo Pro的攻击防御经简单测试发现不具备大量的防攻击能力,但因为特殊原因,给予5分。
★★★★★ Fail
端口测试:Ashampoo Pro的端口测试在默认规则下无法通过部分测试,故给予6分。
★★★★★★ Normal
兼容性:Ashampoo Pro的兼容性相对来说还是很不错的,这类新防火墙都是没有什么冲突的,所以给予10分。
★★★★★★★★★★ Pass
易用性:Ashampoo Pro的程序设置需要用户的基本的端口了解能力,不过其它的功能都很不错并且只需要简单的选择,所以给予8分。
★★★★★★★★ Pass
硬件要求:Ashampoo Pro对于硬件的要求很低,不过内存占用比较大,大概20M左右,CPU大概1%左右,故给予7分。
★★★★★★★ Normal
自我保护:Ashampoo Pro的自我保护做的很不错,试过非暴力终止的方法大部分都可以通过,所以给予8分的成绩。
★★★★★★★★ Pass
MD5验证:Ashampoo Pro版本有了MD5验证,所以给予Pass。
Pass
网速延迟:无
总体评价:★★★★★★☆ 6.5颗星 Normal
(9) PC Tools Firewall的最新正式版本:PC Tools Firewall Plus 1.0.0.10
Leaktest:PC Tools Firewall系列的Leaktest表现较好,8个测试只有1个fail,故给予7分。
★★★★★★★ Normal
攻击防御:PC Tools Firewall的攻击防御经简单测试发挥出较好的功效,故给予8分。
★★★★★★★★ Pass
端口测试:PC Tools Firewall的端口测试在默认规则下通过部分,但大部分为关闭,故给予7分。
★★★★★★★ Normal
兼容性:PC Tools Firewall的兼容性相对来说还是很不错的,这类新防火墙都是没有什么冲突的,特别是它是LNS内核,所以给予10分。
★★★★★★★★★★ Pass
易用性:PC Tools Firewall的包过滤设置需要用户的深入的协议了解能力,不过跟LNS比要更有条理而且放松,所以给予8分。
★★★★★★★★ Pass
硬件要求:PC Tools Firewall对硬件要求很低,内存占用大概4M左右,控制的很好CPU可以忽略不计,故给予9.5分。
★★★★★★★★★☆ Pass
自我保护:PC Tools Firewall的目前不具有自我保护,任何方式能结束进程,所以给予3分的成绩。
★★★ Fail
MD5验证:PC Tools Firewall这个版本添加了二进制验证,所以给予Pass。
Pass
网速延迟:无
总体评价:★★★★★★★ 7颗星 Normal
对于防火墙,现在必须兼顾很多方面才能达到好的表现;就像Comodo一样,他的表现就是突出的,你不能拿它怎么样。这里所有的防火墙至少都及格了,因为我放的比较松,而且各个防火墙都有自己的优点,分数一高就及格了(就像Ashampoo)。在技术上,最强的还是顶尖的ZA,OP和Comodo;KIS 6,CA和LNS属于中等行列;而Ashampoo和PCT都是喽喽,出道不久,技术上还不是很成熟,但是他们还是有成长的空间。Kerio已经半年没有更新了,以前它可是老大之一呀,现在被收购立马不行了,唉。。。
总之,这个评测仅供参考,我对防火墙也不是很熟悉的,只是发表一下自己的中肯意见而已。不要怀疑我有倾向,现在我可是一个防火墙也没有用的,希望大家明白。
本人用过的防火墙不算很多,但是也能根据我的经验来判断防火墙的好坏。我所使用过的防火墙有:ZA 7,OP 4,Kerio 4,Jetico 1,KIS 6.0.1.411,Comodo,LNS 2.05,CA Personal Firewall 2007,Ashampoo Firewall Pro,PC Tools Firewall等。。。一些防火墙我并不想试,不是因为它们不好的原因,而是跟我的电脑不兼容,容易出现蓝屏什么的,而且我很珍惜我的本本,故决定不测试一些防火墙。
测试条件:
硬件:
OS 名称Microsoft Windows XP Professional(补好所有补丁)
版本 5.1.2600 Service Pack 2 内部版本号 2600
OS 制造商 Microsoft Corporation
处理器 x86 Family 6 Model 14 Stepping 8 Genuine Intel ~1662 MHz
系统模式 Joy book S73
系统类型 基于 X86 的 PC
总的物理内存 512.00 MB
总的虚拟内存 2.00 GB
软件:
Office 2003 精简版(补好所有补丁)
一些笔记本驱动程序
System Safety Monitor Free版
其它的就不说了,跟安全类没有关系。
测试方案:
Leaktest:
Leaktest 即漏洞测试,模拟木马通过URL参数启动,内存注入,OLE控制等方式,绕过你的FW/HIPS的测试;当然我们在这里特指Firewall即防火墙。常见的Leaktest
有:Leaktest,FireHole,Outbound,Copycat,DNSTester,Breakout和PCFlank等。现在的防火墙逐渐向立体的方式走去,单纯的防火墙已经不多了,因为在杀软对新木马无能为力的时候,Firewall和Hips几乎成为了最后的防线;一般用户是不会装Hips的,毕竟它的复杂性需要有一定电脑基础的人才能够正确的应用以发挥出最好的功效;那么Firewall就必须走向这条道路。加上木马躲避防火墙的招数越来越多,Leaktest就成为了测试防火墙外联的一个重要的标准。Leaktest本身无害,只是通过模仿木马外联的手段进行测试而已。
攻击防御:
攻击实际上不好说明定义,所以给大家列2种最普遍的攻击:
扫描:扫描是黑客的初始信息收集过程的一部分。在黑客能够攻击系统之前,他们需要收集关于该系统的信息,如网络布局、操作系统类型、系统可用服务、系统用户等。黑客可以根据所收集的信息推断出可能的弱点,并选择对选定目标系统的最佳攻击方法。
拒绝服务攻击(DOS攻击):通常,黑客瞄准特定系统,闯入系统以便将其用于特定用途。那些系统的主机安全性经常会阻止攻击者获得对主机的控制权。但进行拒绝服务攻击时,攻击者不必获得对系统的控制权。其目标只是使系统或网络过载,这样它们就无法继续提供服务了。拒绝服务攻击可以有不同的目标,包括带宽消耗和资源缺乏。
攻击防御应该是每个个人防火墙必备的模块,这就是防火墙防外的功能,而且攻击是利用Windows的漏洞和开放的端口进行攻击的。毕竟每天都会出现大大小小的攻击骚扰我们,甚至会使我们断网,恶意留下后门等。传统的防火墙都具有此模块,但是新的防火墙却很少见到用户可管理的攻击检测模块了。为什么?因为传统的攻击已经被Windows的一个个补丁修复了,并且在Windows SP2推出后有了Tiny给OEM的Windows防火墙,使SP2从系统开始就有了基本的防护;现在开始是蠕虫攻击了,已经归类为杀软+防火墙的双重考验了。木马是最流行的,所以所有的防火墙都加强了程序控制,甚至只有程序控制。
端口测试:
类似于攻击防御的一个模块,是用来检测是否有开放的端口的。一个端口就是一个潜在的通信通道,也就是一个入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息。进行扫描的方法很多,可以是手工进行扫描,也可以用端口扫描软件进行。
在手工进行扫描时,需要熟悉各种命令。对命令执行后的输出进行分析。用扫描软件进行扫描时,许多扫描器软件都有分析数据的功能。
通过端口扫描,可以得到许多有用的信息,从而发现系统的安全漏洞。
所以端口是防火墙必须保护的地方,不能让黑客发现这些端口并研究系统漏洞,然后对你进行无法阻止的攻击(除非你剪掉网线)。通常来说,隐藏是最安全的,这样会使黑客用一般的手段会探测不到你这台计算机的存在;关闭则可以发现你这台计算机的存在,但是打开端口却需要一定的技术,没有程序使用这些端口,但是他们仍然可能成为黑客的目标;打开则是最危险的,但是却是没有办法避免的,一些端口必须要打开,黑客可以轻而易举的探测信息和发送蠕虫攻击什么的。
兼容性:
兼容性也是很重要的一个抉择防火墙好坏的条件之一。可以分为2类:软件无法使用和软件冲突问题。
第一种:一般很少发生,所以不讲。(跟系统的结合问题)
第二种:所谓软件冲突,是指两个或多个软件在同时运行时,程序可能出现的冲突,导致其中一个软件或两个软件都不能正常工作。
软件冲突在各种用户电脑终端上的表现和反应都是不一样的。有的从安装开始,有的是在运行中,情况很复杂,具体表现难说。具体情况都不一样,不同机器不一样,同一个机器,不同使用状态下也不一样;可以肯定的是,有可能出毛病,比如:电脑运行缓慢,某个软件不能正常使用,电脑死机等等。
对于出现软件冲突的原因,可能是软件厂商之间缺乏沟通,在程序设计上有互相冲突的地方,也有可能是出于竞争的考虑,故意给对方设置障碍。
如果是前者,那就形成一种无意的软件冲突;而如果是后者,就构成一种恶意的软件冲突。事实上,很多软件冲突都是厂商恶意为之的。
一般来说,大部分的软件冲突都在同一种类型的软件上面出现,特别是与系统相关的软件,和系统的关系越近会冲突几率就越大。防火墙就是这样一类的安全软件,所以要注意和其它软件的兼容性如何,不要导致鱼死网破的局面。
一些Firewall的兼容性的确做的不是很好,可能是它们是新出来的产品,或者是使用的技术跟其它软件冲突(如一些API钩子或者hook,还有内存注入修改)。这时就要注意是否更换软件或者是防火墙了。
易用性:
(1)完成一个任务最自然的方式也是最安全的;
(2)用户能够清楚理解授权过程,明确过程中的操作;
(3)用户的交互界面应该能够吸引用户的吸引力;
(4)影响安全决定的用户交互界面应该便于检查;
(5)在任何时候都应该允许撤消做出的安全授权;
(6)用户界面不应该让用户误以为拥有实际上没拥有的权限;
(7)用户与授权实体之间的通讯渠道必须是不能被欺骗和不容易瘫痪;
(8)确认实体与确认操作在界面上应该与其他实体和操作不同;
(9)交互界面应该提供足够的表达能力让用户容易按照自己的目标表达安全决定;
(10)在动作生效前应该让用户清楚授权操作的结果。
这些都是易用性的原则,一个软件要做到易用就必须做到上面的10点,否则初级用户会觉得很无奈。当然安全性和易用性会产生冲突,所以一些高手会选择安全而非易用,这也是为什么一些很复杂和基础的防火墙会诞生的原因,他们想保持原防火墙的样式而不至于退化。
硬件要求:
一个产品对于硬件的要求度不能够太高,要适应现在的系统的硬件趋势和改变以进行调整。一些功能强大的防火墙因为防护全面,包括检查Cookie等,检查的限度就会增大,各种资源占用在使用相应被控制的软件时(内存,CPU)就会飙上去,这对于硬件不佳的用户简直是噩梦。所以一个产品要受到用户的欢迎,必须做好在资源占用上的控制,人人都喜欢资源低的防火墙,有时候这些比功能强大更重要。
作为现在的普遍的硬件和系统状况,我列一个标准,仅供参考:
RAM:256-512M,高资源版1G;
CPU:至少1 GHz,现在装Windows XP SP2的硬件配置至少高过这个;
显卡:兼容16色模式的;
系统:从Windows 2000至Windows XP SP2 Pro 或者 Home Edition的,甚至推出Vista ×64版本的。
功能简介:
这个是防火墙的基本说明,忽略不讲。
自我保护:
现在的木马因为杀毒软件的不断更新和技术进步导致不能任意发展,所以木马作者要开始想新的方法来对付杀毒软件,那么就是写函数结束杀毒软件的进程和服务,这样木马就可以猖獗了。。。
杀软公司发现这些问题后,开始了自我保护之旅;对于进程和本身程序文件的保护在现在的互联网战争不可缺少,否则就是绝对的受害方。自我保护的方式有多种,如卡巴的双进程保护:用两个相互独立的进程相互保护(卡巴的保护方式)。启动主进程时,同时启动保护进程;然后两者不断检测对方是否在运行,如果对方被中止则立即启动;只有主程序被正常行为中止时,先停止监视,退出保护程序,最后退出主程序。这样的话可能会加大系统资源的占用率。或者DLL注入关键进程也可以达到此效果,不过可能不稳定。
所以在选用防火墙的时候,也要注意程序是否有自我保护,如果没有就应该注意了,尽量不要使用它们,因为木马会利用这个缺陷来绕开防火墙的。或者可以使用专门或者拥有保护进程的软件,如SSM等来保护进程。
MD5验证:
(1)来历:
MD5的全称是message-digest algorithm 5(信息-摘要算法)。
(2)用途:
MD5的作用是对一段信息生成信息摘要,该摘要对该信息具有唯一性,可以作为数字签名。用于验证文件的有效性(是否有丢失或损坏的数据或者是否被修改),对用户密码的加密,在哈希函数中计算散列值。现在对于木马防御有着重要的作用。
(3)特点:
输入一个任意长度的字节串,生成一个128位的整数。由于算法的某些不可逆特征,在加密应用上有较好的安全性。并且,MD5算法的使用不需要支付任何版权费用。
现在的木马有着替换原有文件以进行联网的能力,如原来防火墙允许浏览器程序Maxthon.exe完全连接网络,这是木马将原来的Maxthon.exe替换掉,由于当时防火墙还没有MD5验证,只认路径和文件名,所以再次联网时并没有提示;这时木马就可以随心所欲的连接了。
当有了MD5验证后,程序被替换后要再次联网,就会发现MD5跟原来的对不上,会提示是否继续允许联网。这时就要注意了,看看最近有没有升级程序什么的,如果没有,果断的按下阻止吧,然后杀毒或者修复程序。
测试对象:
因为时间原因,测试方面写的会简单一点,满分为10颗星,综合评定防火墙实力。
要得到Pass至少要8颗星,6颗星则为Normal,以下则为Fail。
(1)ZA 7系列最新版本:ZoneAlarm 7.0.302 Security Suite为了发挥出最好的效果,故使用了SS版本,关闭反间谍和反病毒。
Leaktest:ZA 7系列的Leaktest表现非常好,达到了满分,故给予10分。
★★★★★★★★★★ Pass
攻击防御:ZA 7的攻击防御经简单测试也有很不错的表现,故给予9分。
★★★★★★★★★ Pass
端口测试:ZA 7的端口测试在高安全规则下完全通过,故给予9分。
★★★★★★★★★ Pass
兼容性:ZA 7的兼容性相对来说也不错,跟许多软件的冲突都解决了,但是也诞生了一些新的问题,所以给予8分,也可以Pass。
★★★★★★★★ Pass
易用性:ZA 7仍然保持了它的易用性,不过有些功能则相对来说复杂了一些,端口不需要设置,程序设置简单明了,各种功能集合的很好,个人用户使用起来并不吃力。故给予8.5分的成绩。
★★★★★★★★☆ Pass
硬件要求:ZA 7对于硬件的要求比较高,实际上使用起来要求更高,我的512M内存觉得还不是很够用;特别是在使用浏览器时,在网络控制打在中等时,vsmon.exe竟然飙到了70M的内存,不过CPU一直保持在2%左右;但是可能是SS版的原因,所以给予6分的成绩。
★★★★★★ Normal
自我保护:ZA的自我保护做的不错,试过非暴力终止的方法大部分都可以通过,所以给予7.5分的成绩。
★★★★★★★☆ Normal
MD5验证:ZA以前的版本就有了MD5验证,现在新版本更加强了控制,所以给予Pass。
Pass
其它功能:增加了更严的程序控制,还有“键盘记录”控制和“可疑活动”控制。
网速延迟:中+
总体评价:★★★★★★★ 8颗星 Pass
(2)OP的最新版本:Outpost Firewall Pro 4.0.1007.7323 (591)
Leaktest:OP 4系列的Leaktest表现很不错,达到了6550分,故给予8分。
★★★★★★★★ Pass
攻击防御:OP 4的攻击防御经简单测试发挥出非常好的功效,故给予10分。
★★★★★★★★★★ Pass
端口测试:OP 4的端口测试在规则精灵规则下完全通过,故给予10分。
★★★★★★★★★★ Pass
兼容性:OP 4的兼容性相对来说比ZA要好,跟许多软件没有冲突,但是跟少数杀软有不适应状况(问题出自OP),所以给予9分。
★★★★★★★★★ Pass
易用性:OP要比ZA难设置一些,但是它的灵活性很高,而且不设置也可以发挥出很好的功效;一些高级功能需要用户比较深的功力,这些高级功能对于系统的安全起到非常重要的影响,所以只给予7分。
★★★★★★★ Normal
硬件要求:OP 4 对于硬件的要求也比较高,但是跟ZA 7比起来还是相对好一点,我的512M内存觉得勉勉强强;特别是在使用浏览器时,在网络控制打在中等时,outpost.exe竟然飙到了40M的内存,不得不关掉它的一些插件,内存占用就下来了。不过CPU一直保持在2%左右;所以给予6分的成绩。
★★★★★★ Normal
自我保护:OP的自我保护做的很不错,试过非暴力终止的方法都可以通过,甚至一些暴力方法也可以预防,所以给予9分的成绩。
★★★★★★★★★ Pass
MD5验证:OP以前的版本就有了MD5验证,所以给予Pass。
Pass
增加功能:出现了类似hips的功能,感觉很不错,希望能有发展。
网速延迟:中
总体评价:★★★★★★★☆ 8.5颗星 Pass
(3)Kerio的最新版本:Sunbelt Kerio Personal Firewall 4.3.248
Leaktest:Kerio 4系列的Leaktest表现不好,只达到了4825分,故给予5分。
★★★★★ Fail
攻击防御:Kerio 4的攻击防御经简单测试发挥出很好的功效,故给予9分。
★★★★★★★★★ Pass
端口测试:Kerio 4的端口测试在默认规则下完全通过,故给予10分。
★★★★★★★★★★ Pass
兼容性:Kerio 4的兼容性跟前面的防火墙比都要更好,大部分软件没有冲突,目前没有发现不兼容的情况,但是有一次频繁弹出窗口导致蓝屏,所以给予9分。
★★★★★★★★★☆ Pass
易用性:Kerio的包过滤设置需要用户的基本的端口了解能力,不过其它的功能都很不错并且不需要很大和复杂的设置,所以给予8分。
★★★★★★★★ Pass
硬件要求:Kerio 4 对于硬件要求不高,而且在不开“网络控制”的时候CPU占用可以忽略不计,内存占用只有14M左右,算是立体墙里面比较好的了,所以给予8分。
★★★★★★★★ Pass
自我保护:Kerio的自我保护做的也很不错,试过非暴力终止的方法大部分都可以通过,所以给7.5分的成绩。
★★★★★★★☆ Normal
MD5验证:Kerio以前的版本就有了MD5验证,所以给予Pass。
Pass
增加功能:具有基本的hips的功能,感觉很不错,对于木马防御含有帮助,希望能更新版本。
网速延迟:小
总体评价:★★★★★★★ 7颗星 Normal
(4)KIS的最新正式版本(非Vista):6.0.1.411(防火墙+主动防御)
Leaktest:KIS 6系列的Leaktest表现很好,甚至超过了OP,达到了7450分,故给予7.5分。
★★★★★★★☆ Normal
攻击防御:KIS 6的攻击防御经简单测试发挥出很好的功效,故给予9分。
★★★★★★★★★ Pass
端口测试:KIS 6的端口测试在高安全规则下完全通过,故给予8分。
★★★★★★★★ Pass
兼容性:KIS 6的兼容性相对来说还是不错的,但是听很少用户说还是存在了一些因为KIS问题导致的问题或者蓝屏,所以给予8分。
★★★★★★★★ Pass
易用性:KIS 6的包过滤设置需要用户的基本的端口了解能力,不过其它的功能都很不错并且不需要很大和复杂的设置,所以给予8分。
★★★★★★★★ Pass
硬件要求:KIS 6 对于硬件有一定要求,这个大家都是知道的,有时候主动防御还会飙高CPU,导致假死。不过总体来说CPU占用2%左右,内存20多M,给予7.5分。
★★★★★★★☆ Normal
自我保护:KIS 6的自我保护做的非常不错,试过非暴力终止的方法都可以通过,它是利用双进程保护的方式,所以给予9分的成绩。
★★★★★★★★★ Pass
MD5验证:KIS 6以前的版本就有了MD5验证,所以给予Pass。
Pass
增加功能:加强了主动防御的功能,使其能通过大量的Leaktest隐藏数据发送。
网速延迟:中+
总体评价:★★★★★★★★☆ 8.5颗星 Pass
(5) Comodo的最新正式版本:2.4.16.174(防火墙+初始hips)
Leaktest:Comodo系列的Leaktest表现异常突出,达到了9475分,通过了所有的测试,故给予10分。
★★★★★★★★★★ Pass
攻击防御:Comodo的攻击防御经简单测试发挥出很好的功效,故给予9分。
★★★★★★★★★ Pass
端口测试:Comodo的端口测试在默认安全规则下完全通过,故给予10分。
★★★★★★★★★★ Pass
兼容性:Comodo的兼容性相对来说还是很不错的,跟绝大部分的杀软和平常软件能够和睦相处,但是有时候hips会误报或者阻止正常的进程注入,所以要注意一下,给予9分。
★★★★★★★★★ Pass
易用性:Comodo的包过滤设置需要用户的基本的端口了解能力,但是作为SPI动态检测来说包过滤的威力就小一些了,不过其它的功能都很不错并且不需要复杂的设置,所以给予8.5分。
★★★★★★★★☆ Pass
硬件要求:Comodo对于硬件要求较小,这个大家都是知道的。但是有不少用户说cmagent.exe会飙到CPU100%,不过我没有遇到过。内存占用倒是不小,大概15—30M,所以给予8分。
★★★★★★★★ Pass
自我保护:Comodo的自我保护做的非常不错,试过非暴力终止的方法都可以通过,所以给予9分的成绩。
★★★★★★★★★ Pass
MD5验证:Comodo以前的版本就有了MD5验证,所以给予Pass。
Pass
增加功能:加强了主动防御的功能,使其能通过大量的Leaktest隐藏数据发送。
网速延迟:中总体评价:★★★★★★★★★ 9颗星 Pass
(6)LNS的最新版本:Look’N’Stop 2.05 SP3
Leaktest:LNS系列的Leaktest表现不怎么样,只达到了4800分,为Poor,故给予5分。
★★★★★ Fail
攻击防御:LNS的攻击防御经简单测试发挥出较好的功效,故给予8分。
★★★★★★★★ Pass
端口测试:LNS的端口测试在默认安全规则+部分规则下完全通过,故给予9分。
★★★★★★★★★ Pass
兼容性:LNS的兼容性可以说是很完美的,跟各类程序都可以完全的相处,应该是LNS的单纯管理的原因,故给予10分。
★★★★★★★★★★ Pass
易用性:LNS的包过滤设置需要用户的深入的协议等了解能力,甚至专家级的选择,不过因为规则包的原因,给予7分。
★★★★★★★ Normal
硬件要求:LNS对于硬件的要求非常小,内存仅仅600K,CPU占用可以不计,相当于没有装防火墙一样的好,所以给予10分的成绩。
★★★★★★★★★★ Pass
自我保护:LNS的自我保护做的不怎么样,试过很多的方法都可以结束进程,所以给予3分的成绩。
★★★ Fail
MD5验证:LNS的这个版本仍不支持MD5验证,所以给予Fail。
Fail
增加功能:修复了关机非常慢的问题。
网速延迟:无
总体评价:★★★★★★★☆ 7.5颗星 Normal+
(7)CA Firewall的最新正式版本:2007版(不带hips)
Leaktest:CA Firewall系列的Leaktest表现非常不理想,只达到了1000分,为None,故给予2分。
★★ Fail
攻击防御:CA Firewall的攻击防御经简单测试发挥出较好的功效,故给予8分。
★★★★★★★★ Pass
端口测试:CA Firewall的端口测试在高安全规则下完全通过,故给予8分。
★★★★★★★★ Pass
兼容性:CA Firewall的兼容性相对来说还是不错的,不过因为没有其它条件测试,所以给予8分。
★★★★★★★★ Pass
易用性:CA Firewall的包过滤设置需要用户的基本的端口了解能力,不过其它的功能都很不错并且只需要简单的设置,所以给予9分。
★★★★★★★★★ Pass
硬件要求:CA Firewall 对于硬件有一定要求,内存占用比较高,8个进程,大概50M左右,可以跟咖啡比一比了,所以给予6分。
★★★★★★ Normal
自我保护:CA Firewall的自我保护做的非常不错,试过非暴力终止的方法都可以通过,所以给予8分的成绩。
★★★★★★★★ Pass
MD5验证:CA Firewall以前的版本就有了MD5验证,所以给予Pass。
Pass
网速延迟:小
总体评价:★★★★★★★ 7颗星 Normal
(8) Ashampoo Pro的最新正式版本:Ashampoo Firewall Pro 1.14
Leaktest:Ashampoo Pro系列的Leaktest表现很差,只达到了500分,为None,故给予1分。
★ Fail
攻击防御:Ashampoo Pro的攻击防御经简单测试发现不具备大量的防攻击能力,但因为特殊原因,给予5分。
★★★★★ Fail
端口测试:Ashampoo Pro的端口测试在默认规则下无法通过部分测试,故给予6分。
★★★★★★ Normal
兼容性:Ashampoo Pro的兼容性相对来说还是很不错的,这类新防火墙都是没有什么冲突的,所以给予10分。
★★★★★★★★★★ Pass
易用性:Ashampoo Pro的程序设置需要用户的基本的端口了解能力,不过其它的功能都很不错并且只需要简单的选择,所以给予8分。
★★★★★★★★ Pass
硬件要求:Ashampoo Pro对于硬件的要求很低,不过内存占用比较大,大概20M左右,CPU大概1%左右,故给予7分。
★★★★★★★ Normal
自我保护:Ashampoo Pro的自我保护做的很不错,试过非暴力终止的方法大部分都可以通过,所以给予8分的成绩。
★★★★★★★★ Pass
MD5验证:Ashampoo Pro版本有了MD5验证,所以给予Pass。
Pass
网速延迟:无
总体评价:★★★★★★☆ 6.5颗星 Normal
(9) PC Tools Firewall的最新正式版本:PC Tools Firewall Plus 1.0.0.10
Leaktest:PC Tools Firewall系列的Leaktest表现较好,8个测试只有1个fail,故给予7分。
★★★★★★★ Normal
攻击防御:PC Tools Firewall的攻击防御经简单测试发挥出较好的功效,故给予8分。
★★★★★★★★ Pass
端口测试:PC Tools Firewall的端口测试在默认规则下通过部分,但大部分为关闭,故给予7分。
★★★★★★★ Normal
兼容性:PC Tools Firewall的兼容性相对来说还是很不错的,这类新防火墙都是没有什么冲突的,特别是它是LNS内核,所以给予10分。
★★★★★★★★★★ Pass
易用性:PC Tools Firewall的包过滤设置需要用户的深入的协议了解能力,不过跟LNS比要更有条理而且放松,所以给予8分。
★★★★★★★★ Pass
硬件要求:PC Tools Firewall对硬件要求很低,内存占用大概4M左右,控制的很好CPU可以忽略不计,故给予9.5分。
★★★★★★★★★☆ Pass
自我保护:PC Tools Firewall的目前不具有自我保护,任何方式能结束进程,所以给予3分的成绩。
★★★ Fail
MD5验证:PC Tools Firewall这个版本添加了二进制验证,所以给予Pass。
Pass
网速延迟:无
总体评价:★★★★★★★ 7颗星 Normal
对于防火墙,现在必须兼顾很多方面才能达到好的表现;就像Comodo一样,他的表现就是突出的,你不能拿它怎么样。这里所有的防火墙至少都及格了,因为我放的比较松,而且各个防火墙都有自己的优点,分数一高就及格了(就像Ashampoo)。在技术上,最强的还是顶尖的ZA,OP和Comodo;KIS 6,CA和LNS属于中等行列;而Ashampoo和PCT都是喽喽,出道不久,技术上还不是很成熟,但是他们还是有成长的空间。Kerio已经半年没有更新了,以前它可是老大之一呀,现在被收购立马不行了,唉。。。
总之,这个评测仅供参考,我对防火墙也不是很熟悉的,只是发表一下自己的中肯意见而已。不要怀疑我有倾向,现在我可是一个防火墙也没有用的,希望大家明白。
- 各类防火墙测试
- 各类防火墙介绍
- 关于各类防火墙的介绍
- 各类测试工具
- 各类测试方法
- 测试防火墙系统
- 测试防火墙行为问题
- 防火墙中的VPN测试
- 防火墙规则测试工具
- Loadrunner穿越防火墙测试
- 防火墙性能测试RFC2544
- 防火墙性能测试浅析
- LoadRunner穿越防火墙测试
- 防火墙测试软件
- 防火墙性能测试浅析
- 测试工具大全(各类测试工具简介)
- SPI防火墙及应用测试
- 关于防火墙性能的测试
- 使用Spring Introducation 让Java类实现动态语言特性
- Windows启动过程详解
- 弹出窗口集合
- 标签:input与html:text的区别
- 松耦合和紧耦合
- 各类防火墙测试
- MySQL 备份和恢复
- 获得网页信息 并获取相应值
- [学习] Apache + mod_python + Django Step by Step
- 鼠标移到GridView某一行时改变该行的背景色方法一
- 一些常用的命令
- IT支出破3万亿美元 发展中国家增长快
- 计算机体系结构知识点汇集
- My linux Mobile E680 Devp Envirment build up 001
