服务器硬件防火墙墙与软件防火墙有什么区别
点击联系发帖人
时间:2018-03-01 17:32
防火墙定义
防火墙就是一个位于计算机和它所连接的相关信息之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙的功能
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
为什么使用防火墙
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
防火墙的类型
防火墙有不同类型。一个防火墙可以是硬件自身的一部分,你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行,该机器作为它背后网络中所有计算机的代理和防火墙。最后,直接连在因特网的机器可以使用个人防火墙。
防火墙的概念
当然,既然打算由浅入深的来了解,就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引...
防火墙定义
防火墙就是一个位于计算机和它所连接的相关信息之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙的功能
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
为什么使用防火墙
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
防火墙的类型
防火墙有不同类型。一个防火墙可以是硬件自身的一部分,你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行,该机器作为它背后网络中所有计算机的代理和防火墙。最后,直接连在因特网的机器可以使用个人防火墙。
防火墙的概念
当然,既然打算由浅入深的来了解,就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。再电脑术语中,当然就不是这个意思了,我们可以类比来理解,在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Intenet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Intenet,Intenet上的人也无法和公司内部的人进行通信。
防火墙的功能
防火墙是网络安全的屏障:
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
防火墙可以强化网络安全策略:
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
对网络存取和访问进行监控审计:
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防止内部信息的外泄:
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finge,DNS等服务。Finge显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finge显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
除了安全作用,防火墙还支持具有Intenet服务特性的企业内部网络技术体系VPN(虚拟专用网)。
防火墙的英文名为“FieWall”,它是目前一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。
防火墙在网络中经常是以下图所示的两种图标出现的。左边那个图标非常形象,真正像一堵墙一样。而右边那个图标则是从防火墙的过滤机制来形象化的,在图标中有一个二极管图标。而二极管我们知道,它具有单向导电性,这样也就形象地说明了防火墙具有单向导通性。这看起来与现在防火墙过滤机制有些矛盾,不过它却完全体现了防火墙初期的设计思想,同时也在相当大程度上体现了当前防火墙的过滤机制。因为防火最初的设计思想是对内部网络总是信任的,而对外部网络却总是不信任的,所以最初的防火墙是只对外部进来的通信进行过滤,而对内部网络用户发出的通信不作限制。当然目前的防火墙在过滤机制上有所改变,不仅对外部网络发出的通信连接要进行过滤,对内部网络用户发出的部分连接请求和数据包同样需要过滤,但防火墙仍只对符合安全策略的通信通过,也可以说具有“单向导通”性。
防火墙的本义是指古代构筑和使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火墙”。其实与防火墙一起起作用的就是“门”。如果没有门,各房间的人如何沟通呢,这些房间的人又如何进去呢?当火灾发生时,这些人又如何逃离现场呢?这个门就相当于我们这里所讲的防火墙的“安全策略”,所以在此我们所说的防火墙实际并不是一堵实心墙,而是带有一些小孔的墙。这些小孔就是用来留给那些允许进行的通信,在这些小孔中安装了过滤机制,也就是上面所介绍的“单向导通性”。
我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界网络之间的一道防御系统。防火可以使企业内部局域网(LAN)网络与Intenet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。典型的防火墙具有以下三个方面的基本特性:
(一)内部网络和外部网络之间的所有网络数据流都必须经过防火墙
这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业网部网络不受侵害。
根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
典型的防火墙体系网络结构如下图所示。从图中可以看出,防火墙的一端连接企事业单位内部的局域网,而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。
(二)只有符合安全策略的数据流才能通过防火墙
防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起,原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来,按照OSI协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口=2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。如下图:
(三)防火墙自身应具有非常强的抗攻击免疫力
这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。
目前国内的防火墙几乎被国外的品牌占据了一半的市场,国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻,价格上也更具有优势。防火墙产品中,国外主流厂商为思科(Cisco)、CheckPoint、NetSceen等,国内主流厂商为东软、天融信、联想、方正等,它们都提供不同级别的防火墙产品。
其他答案(共3个回答)
之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙肯定是属于软件范畴了.
硬件指的是外部设备,如果说显示器.硬盘.主机.主板等等,而软件就是在计算机里运行的一些程序包括操作系统等等.
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Intenet之间的任何活动, 保证了内部网络的安全。
防火墙定义
防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙的功能
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
为什么使用防火墙
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
防火墙的类型
防火墙有不同类型。一个防火墙可以是硬件自身的一部分,你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行,该机器作为它背后网络中所有计算机的代理和防火墙。最后,直接连在因特网的机器可以使用个人防火墙。
-----------------
防火墙属软件范畴。
1.什么是防火墙
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Intenet之间的任何活动, 保证了内部网络的安全。
2.使用Fiewall的益处
保护脆弱的服务
通过过滤不安全的服务,Fiewall可以极大地提高网络安全和减少子网中主机的风险。例如, Fiewall可以禁止NIS、NFS服务通过,Fiewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问
Fiewall可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如, Fiewall允许外部访问特定的Mail Seve和We Seve。
集中的安全管理
Fiewall对企业内部网实现集中的安全管理,在Fiewall定义的安全规则可以运行于整个内部网络系统, 而无须在内部网每台机器上分别设立安全策略。Fiewall可以定义不同的认证方法, 而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。
增强的保密性
使用Fiewall可以阻止攻击者获取攻击网络系统的有用信息,如Fige和DNS。
记录和统计网络利用数据以及非法使用数据
Fiewall可以记录和统计通过Fiewall的网络通讯,提供关于网络使用的统计数据,并且,Fiewall可以提供统计数据, 来判断可能的攻击和探测。
策略执行
Fiewall提供了制定和执行网络安全策略的手段。未设置Fiewall时,网络安全取决于每台主机的用户。
3.防火墙的种类
防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。
数 据 包 过 滤
数据包过滤(Packet Filteing)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑, 被称为访问控制表(Access Contol Tale)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、 协议状态等因素,或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用, 网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与Intenet连接必不可少的设备, 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。
数据包过滤防火墙的缺点有二:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击; 二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。
应 用 级 网 关
应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。 它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、 登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。
数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。 一旦满足逻辑,则防火墙内外的计算机系统建立直接联系, 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。
代 理 服 务
代理服务(Poxy Sevice)也称链路级网关或TCP通道(Cicuit Level Gateways o TCP Tunnels), 也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术, 其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的" 链接", 由两个终止代理服务器上的" 链接"来实现,外部计算机的网络链路只能到达代理服务器, 从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务也对过往的数据包进行分析、注册登记, 形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。
4.设置防火墙的要素
网络策略
影响Fiewall系统设计、安装和使用的网络策略可分为两级,高级的网络策略定义允许和禁止的服务以及如何使用服务, 低级的网络策略描述Fiewall如何限制和过滤在高级策略中定义的服务。
服务访问策略
服务访问策略集中在Intenet访问服务以及外部网络访问(如拨入策略、SLIPPPP连接等)。 服务访问策略必须是可行的和合理的。可行的策略必须在阻止已知的网络风险和提供用户服务之间获得平衡。 典型的服务访问策略是:允许通过增强认证的用户在必要的情况下从Intenet访问某些内部主机和服务; 允许内部用户访问指定的Intenet主机和服务。
防火墙设计策略
防火墙设计策略基于特定的Fiewall,定义完成服务访问策略的规则。通常有两种基本的设计策略: 允许任何服务除非被明确禁止;禁止任何服务除非被明确允许。第一种的特点是安全但不好用, 第二种是好用但不安全,通常采用第二种类型的设计策略。 而多数防火墙都在两种之间采取折衷。
增强的认证
许多在Intenet上发生的入侵事件源于脆弱的传统用户口令机制。多年来,用户被告知使用难于猜测和破译口令, 虽然如此,攻击者仍然在Intenet上监视传输的口令明文,使传统的口令机制形同虚设。增强的认证机制包含智能卡, 认证令牌,生理特征(指纹)以及基于软件(RSA)等技术,来克服传统口令的弱点。虽然存在多种认证技术, 它们均使用增强的认证机制产生难被攻击者重用的口令和密钥。 目前许多流行的增强机制使用一次有效的口令和密钥(如SmatCad和认证令牌)。
5.防火墙在大型网络系统中的部署
根据网络系统的安全需要,可以在如下位置部署防火墙:
局域网内的VLAN之间控制信息流向时;
Intanet与Intenet之间连接时(企业单位与外网连接时的应用网关);
在广域网系统中,由于安全的需要,总部的局域网可以将各分支机构的局域网看成不安全的系统, (通过公网ChinaPac,ChinaDDN,Fame Relay等连接)在总部的局域网和各分支机构连接时采用防火墙隔离, 并利用VPN构成虚拟专网;
总部的局域网和分支机构的局域网是通过Intenet连接,需要各自安装防火墙,并利用NetSceen的VPN组成虚拟专网;
在远程用户拨号访问时,加入虚拟专网;
ISP可利用NetSceen的负载平衡功能在公共访问服务器和客户端间加入防火墙进行负载分担、 存取控制、用户认证、流量控制、日志纪录等功能;
两网对接时,可利用NetSceen硬件防火墙作为网关设备实现地址转换(NAT),地址映射(MAP), 网络隔离(DMZ), 存取安全控制,消除传统软件防火墙的瓶颈问题。
6.防火墙在网络系统中的作用
防火墙能有效地防止外来的入侵,它在网络系统中的作用是:
控制进出网络的信息流向和信息包;
提供使用和流量的日志和审计;
隐藏内部IP地址及网络结构的细节;
提供VPN功能。
防火墙作用:防止外来黑客的入侵!
硬件防火墙是一种硬件,它的功能要比软件防火墙强大的多,而且它的内部也有CPU,我目前就是做防火墙的,我做的是美国的Fortigate防火墙,是一中功能比较强大的...
硬件防火墙一种硬件设备,它的速度比软件要快而且不占用CPU时间
防毒墙是防火墙的一种
它仅对网络病毒进行拦截
不包括恶意攻击
防火墙定义
防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙 禁止的是别人的机器 到你的机器的访问
开关的是协议端口,就是路
防毒墙 是你本机内部文件病毒的查杀跟来往文件 文件本身是否有毒
检查的是文件
答: 直接用腾讯手机管家可以了,这个软件我也在用,它可以一眼识别诈骗电话和诈骗短信的。如何你真的遇到了这样的电话和短信那就积极向反信息诈骗联盟举报吧,现在有这个“全民...
答: 网络技术电子邮件有了通达全球的Internet后,人们首先想到的是可以利用它来提供个人之间的通信,而且这种通信应能兼具电话的速度和邮政的可靠性等优点
答: 端口:500说明:InternetKeyExchange(IKE)(Internet密钥交换)端口:说明:RemotAuthenticatio...
大家还关注
Copyright &
Corporation, All Rights Reserved
确定举报此问题
举报原因(必选):
广告或垃圾信息
激进时政或意识形态话题
不雅词句或人身攻击
侵犯他人隐私
其它违法和不良信息
报告,这不是个问题
报告原因(必选):
这不是个问题
这个问题分类似乎错了
这个不是我熟悉的地区12款个人防火墙软件横向评测
1评测环境 如今,在很多涉及电脑安全问题的讨论中,我们常会提起这样一个词,这就是“防火墙”。和防病毒软件主要负责电脑内部的问题不同,防火墙的任务,更多的是处理来自网络外面的威胁。一般来说,市面上的防火墙,按照形式来分,大致可分为两种。即以专用芯片为载体的硬件防火墙和以个人电脑为载体的软件防火墙。虽然,从运行稳定性和网络效率来讲,硬件防火墙无疑有着巨大的优势,但其昂贵的价格,也足以让很多普通用户咂舌。而相比之下,软件防火墙虽然在性能方面稍显逊色,但凭借其低廉的价格和还算不错的防护能力,还是吸引到了不少用户的目光。那么,在面对市场上五花八门的防火墙软件时,您是否知道如何选择?今天,我们就集合了市面上比较流行的12款防火墙软件,从性能、防御能力、功能人性化程度等多个方面,为您进行一番真实的对比。看一看谁才是真正适合我们的防火墙软件。 一、 评测环境 在此次评测中,我们共安排了两台计算机。其中,安装防火墙软件并接受测试的,是一台酷睿2双核笔记本电脑。而辅助测试的,则是一台AMD Athlon 2200+台式PC。为保证最好的测试效果,两台电脑将使用一台D-Link交换机进行互联,其执行交换速率为100 Mbps。此外,为满足评测中的一些联网需要,我们还特意准备了一组2Mbps带宽的网通ADSL。 在软件配置方面,考虑到目前的实际情况,操作系统仍然选用了目前市场占有率最大的Windows XP Professional(补丁版本SP3)。同时,考虑到各防火墙软件之间,可能会产生一些互排斥问题。评测前,将首先对当前系统进行一次Ghost备份。每测试完一款软件,恢复一遍系统。同时,评测中系统自带的防火墙将处于关闭状态,除必要的评测软件之外,未安装其他任何工具。图1 笔记本电脑配置情况图2 台式PC配置情况 二、 软件界面表现 易用性是很多朋友,考察一款防火墙好坏的第一要素。而界面设计,又是与易用性关系最为密切的一项指标。于是,界面设计是否合理、用户操作是否便捷、显示的内容是否完善等等,便成为了我们判断一款防火墙优劣的首要标准。那么,在今天所参评的12款防火墙软件中,谁的界面设计更为出色呢?下面,还是让我们看一看它们的真实表现吧。 1.1 Agnitum Outpost Firewall Outpost的界面比较传统,采用了最为常见的左右式布局。点击左侧按钮,就能从右侧看到各种详细的功能选项。同时,为了兼顾不同水平的用户,Outpost还特意设计了“简易视图”和“专家视图”两种界面显示方式,能够很好地在易用性和功能性方面,达到一个平衡。在它的“防火墙”标签下,是一项攻击屏蔽记录和规则设置向导。同时,我们也可以通过这个标签,了解到各种详细的数据统计资料。 点击高速下载:图3 Outpost界面截图 1.2 ZoneAarm Firewall 和Outpost一样,ZoneAlarm同样采用了传统的左右式布局。不过,由于没有设计“简易界面”。因此,ZoneAlarm的选项看上去更为“丰富”。此外,滑动式选杆也是ZoneAlarm的一大特色。相比以前的菜单选项,ZoneAlarm的用户,能够直接将滑杆拖动到指定位置,来快速完成选择,大大提高了日常环境中的操作效率。此外,在规则设置上,ZoneAlarm也提供了“简洁”(滑杆方式)和“专家”(对话框)两种方式,同时照顾到了不同用户的操作需要。 点击高速下载:图4 ZoneAlarm界面截图 1.3 Norman Personal Firewall Norman也是采用了最为常见的左右式布局。但凭借其良好的界面配色和功能分布,使得整套软件条理感极强。在它的防火墙标签下,我们不但能够看到各种实时的统计信息。而且,还能快速完成“网络锁定”、“临时规则清除”、“专家日志”、“防火墙规则设定”等一些最常用的操作。此外,在Norman中,配置向导也是软件的一大特色。即使您是第一次使用Norman软件,也一定能够很快上手。 点击高速下载:图5 Norman界面截图 1.4 Jetico Personal Firewall 乍一看,Jetico很像是操作系统自带的任务管理器。在它的主界面上,我们能够非常直观地了解到,当前已允许和已阻止的通讯流量。而其他各项功能,则是以功能标签的形式,列示在窗口顶端,切换起来十分方便。此外,在Jetico中,“预设策略”则是它的最大亮点。在日常使用中,我们既可以针对策略重新编辑,也能直接建立自己所需的规则。同时,设在主界面顶端的“策略”选框,则能让用户非常方便地,在不同的策略间来回切换。 点击高速下载:图6 Jetico界面截图 1.5 F-Secure 相比之下,F-Secure的界面平淡无奇,但使用起来还是颇为顺手的。在这款软件中,防火墙只是作为“Internet防护”组中的一个部分,拥有“IP片断阻止”、“防御规则制订”、“服务进出限制”等一些最基本的防御功能。而“入侵防护”、“控制控制”、“应用程序控制”等其他组件,则与之并列,同时出现在更高一级的“Internet防护”标签下。虽然,这样的设计,可能会让某些用户感觉不适,但熟悉之后,还是比较好用的。 点击高速下载:图7 F-Secure界面截图2软件界面表现 1.6 Comodo Firewall 在界面上,Comodo采用了平时不太常见的上下式布局。所有功能均通过顶端四组按钮,进行切换。而在每个项目下,软件还特意为不同的使用人群,设计了“常用任务”、“高级任务”两大标签,人性化考虑比较完善。但相对于很多新手用户来说,Comodo的设计,条理性不强,可能不太容易快速上手。 点击高速下载:图8 Comodo界面截图 1.7 瑞星个人防火墙 单从UI来看,瑞星防火墙的确能够让我们眼前一亮。漂亮的配色加上合理的布局,让软件特别便于快速上手。在它的“工作状态”标签下,所有活动的程序,都会以小图标的形式,列示在图表上方。只要某一进程出现流量,便会在图标上快速闪动。这样,我们就能根据具体情况,采取相应措施了。而在其他功能上,瑞星防火墙也毫不逊色。包括“IP包过滤”、“恶意网址拦截”、“应用程序监控”、“出站攻击防御”等一系列常用的功能,都能在相关模块中找到,十分方便。 点击高速下载:图9 瑞星防火墙 界面截图 1.8 江民防火墙 江民防火墙的界面,设计得比较出色。与其他软件过分追求大而全不同,江民防火墙的主界面,只有那么窄窄的一条。而在这个面板中,用户可以非常方便地执行“安全级别调整”、“软件智能升级”、“防火墙暂停”、“网络强制中断”和“防火墙设置”这五项最常用功能。而更多的设置,则隐藏在界面底端的四个伸缩标签中。点击后,才会自动弹出。这样,无论是注重操作的普通用户,还是侧重功能的高级用户,都能在软件中找到适合自己的模式,大大提高了日常工作的操作效率。 点击高速下载:图10 江民防火墙界面截图 1.9 天网防火墙 和江民防火墙一样,天网防火墙同样采用了方便的可伸缩式面板。平时,各项常用功能,均以按钮的形式,出现在主面板上。当我们点击其中某一按钮时,相应面板便会自动弹出。而设计在主面板上的流量监视器,也很实用。当网络中出现一些异常流量时,监视器能够直观地将其显示出来。以帮助用户,在第一时间处理可能出现的威胁。 点击高速下载:图11 天网防火墙界面截图 1.10 卡巴斯基全功能安全软件 在卡巴斯基中,防火墙是作为整套卡巴斯基全功能安全软件的一个模块而存在的。由于配置了强大的木马查杀及主动防御机制。因此,卡巴斯基防火墙,相比来说功能比较简单。在这款软件中,无论是应用程序过滤、网络数据包过滤还是网络协议过滤,都能在这个面板中轻松找到。而双击即可修改、拖拽即可移动这样的操作,也让使用者倍感轻松。 点击高速下载:图12 卡巴斯基防火墙界面截图 1.11 风云防火墙 在界面设计上,风云防火墙同样采用了一种大家都很熟悉的横纵布局方案。通过顶端工具栏,用户可以很方便地完成“防火墙暂停”、“网络中断”、“防马暂停”等一些最常用操作。而左侧的“功能导航”区,则将软件的所有功能,完整地列示出来。虽然,风云的界面稍显混乱,但在实际操作时,还是比较方便的。 点击高速下载:图13 风云防火墙界面截图 1.12 诺顿Norton Internet Security 和卡巴斯基一样,诺顿防火墙也是附属于Norton Internet Security的一个安全组件。在界面布局上,沿袭了Norton 2009全新的UI风格,不但外观更加炫目。而且,各项功能按钮,也都采用了新颖的“拨动”式开关设计。在它的“Internet”标签下,除了最基本的出入站检查。软件还特别提供了“网络拓扑图”、“入侵防护体系”、“邮件消息扫描”等很多额外工具,为日常防护提供了更多帮助。 点击高速下载:图14 诺顿防火墙界面截图3规则设置对比1 三、 规则设置对比 为了应对不同的网络环境,我们常常会在防火墙默认的安全规则上,自行修改或补充。而规则的制订是否方便、覆盖范围是否全面、人性化设计是否合理等等,便成为了用户们最为关心的几项问题。接下来,我们便围绕以上几个方面,对12款参评防火墙,进行一番规则设置的对比。 1.1 Outpost Outpost的规则编辑比较容易,所有选项都集中在同一个界面。而我们所要做的,只是根据实际需要,选择触发事件,然后确定好通讯方向和许可权限。最终,便能完成一个“允许”或“禁止”的通信规则制订。此外,Outpost还有一项独特的“防火墙策略”功能,允许用户通过滑杆,快速选择不同的防护级别。图15 Outpost规则定义 1.2 ZoneAlarm ZoneAlarm同样为我们提供了专家和快速两种规则建立方案。相比Outpost,ZoneAlarm的专家规则更加详细。不但可以通过菜单,将“信任区”、“Internet区”和“本地电脑”等一些由ZoneAlarm自行设计的虚拟区域添加进来。而且,还特别提供了“Protocol(协议)”、“Time(时间区域)”等更多的设置选项,灵活度较强。图16 ZoneAlarm规则定义 1.3 Norman 在Norman中,规则创建完全采用了向导模式。虽然,这样的设计,很受一些新手用户的欢迎。但同时,也暴露出规则灵活度差,不利于熟练用户快速操作等等弊端。此外,Norman也没有提供其他防火墙中比较常见的,安全级快速修改功能,不利于经常需要切换网络环境的用户使用。图17 Norman规则定义 1.4 Jetico 相比之下,Jetico的规则对话框,比较实用。能够在同一个设置窗口,同时提供多组操作选项。此外,丰富的预设规则,也为软件的规则制订,提供了很大便利。稍加修改后,就能让它们适应全新的应用环境。除此之外,“进程攻击表”和“应用程序校验和”,也是这款软件中十分有特色的两项功能,大大提高了进程监控的灵活程度。图18 Jetico规则定义 1.5 F-Secure F-Secure的规则制订,也是采用向导模式。但和Norman相比,它的向导更加灵活。同时,也能为高级用户提供更多的可操作空间。其中,“通讯方向”可支持方便的鼠标可视化点击,能够让用户直观快捷地完成参数设定。而在这款软件中,一项“拨号连接”复选项,也颇为引人注目。虽然,这个选项听上去有些老土。但在某些特殊的环境中,还是非常有用处的。图19 F-Secure规则定义 1.6 Comodo Comodo的规则定义也很灵活,除了能够将硬盘上的某个程序,快速制成通讯规则。还能直接调用进程列表,选择运行中的某个进程,快速实现拦截。此外,在Comodo中,还有一些预设分类(如“临时文件”、“重要文件”、“系统程序”等),也是它的一大亮点。灵活地利用它们,也能方便地对某一类软件建立规则。图20 Comodo规则定义4规则设置对比2 1.7 瑞星防火墙 在瑞星防火墙中,规则定义也是采用向导模式。相比来说,每个选项还是比较完善的。同时,瑞星防火墙还为不同的工作模式(如锁定模式、交易模式等),提供了不同的访问策略。而这,也正是这款软件与其他同类工具最为不同的地方。图21 瑞星防火墙规则定义 1.8 江民防火墙 在规则设定上,江民防火墙同样使用了比较常见的综合选框形式。能够供用户自行定义“网络环境”、“收发IP”、“传输协议”、“端口情况”和“规则对象”等多种参数,较为适合中高级用户操作使用。此外,在江民防火墙中,还有一些专门针对于“冰河”、“Back Oriface 2000”等知名木马,所设立的专用规则,实用化程度很高。图22 江民防火墙规则定义 1.9 天网防火墙 在天网防火墙中,我们能够方便地通过顶端工具栏,进入“程序”、“IP”的规则设置区。而在这些面板中,各项参数都提供得非常齐全。其中,某些细节选项,只对某些有效协议显示(比如ICMP标签中,绝不会出现端口选项),大大降低了新手用户的操作难度。图23 天网防火墙规则定义 1.10 卡巴斯基 作为卡巴斯基安全套装的一部分,卡巴斯基防火墙,同样拥有一个功能全面的规则配置窗口。在它的设置面板中,我们能够直接调用或修改,预设好的规则模板。不过,和同类软件相比,卡巴斯基的防火墙统计有些另类,直观性也不太好。但是,我们却能利用它,方便地将某一进程的历史流量进行对比,以确定该进程是否存在问题,也算是一个很不错的设计了。图24 卡巴斯基防火墙规则定义 1.11 风云防火墙 风云防火墙的规则面板比较简洁,用户可以通过复选框,方便地完成规则制订。虽然,在它的规则面板中,我们没有看到其他防火墙所惯用的“日志模式”。但却可以利用工具栏中的“免除提示”,实现静默运行。图25 风云防火墙规则定义 1.12 Norton 在Norton防火墙中,规则制订面板也是采用向导形式。虽然,条理性相比更强,但它的弊端,同样是不适合专业用户快速进行设置。而在它的设置面板中,端口范围则是一项新颖的选项。借助它,我们能够方便地对一个端口区进行监控,特别适合于监督那些可能有危险的端口范围。此外,Norton防火墙同样具有完善的追踪与提醒功能,其入侵防御系统,能够自动断开攻击方与己方的网络通信(一段时间后解锁),以防产生更大的危害。图26 诺顿防火墙规则定义5端口静默扫描 四、 防御能力对比 作为一款防火墙软件,能否有效地抵御各种来自外界的威胁,无疑是我们重点考察的一个项目。为了能让测试结果更加有效,我们参考了真实的网络攻防情况,组建了“端口静默扫描”、“反弹连接测试”、“X-Scan综合扫描”这三组评测环境,以便综合对各款防火墙软件的基本防御能力,进行一番对比。 1.1 端口静默扫描 一般来讲,几乎所有的网络攻击行为,都是针对于特定端口展开的。因此,尽量减少端口在外人眼中的“曝光率”,便是降低电脑受攻击频率的一个最好方法。而这,也就是我们平时所说的“端口静默”。一般而言,端口的状态有三种:开启(Open)、关闭(Close)和隐蔽(Stealth)。其中,“关闭”状态,是我们平时最容易忽略掉的。事实上,对于一名有经验的黑客来说,即使端口处于“关闭”状态,也是可以通过一些特殊的查询实施攻击。因此,要想实现真正意义上的静默,就必须将所有不使用的端口,全部设为“隐蔽”状态。 在检测工具的选择上,我们挑选了时下受欢迎度较高的Shields UP!! 网站。该网站的特点,是能够对0到个端口进行扫描,同时以图形化形式,返回各端口的当前状态。不但使用起来非常简便,而且,它的检测精度,也是目前所有在线检测网站中,最全的一个了。图27 Shileds UP!! 端口检测截图图28 端口检测结果对比(点击图片看清晰大图) 由于端口检测,大多采用入站流量。因此,端口的扫描屏蔽操作,实际上也可以理解为防火墙防御功能的一个部分。而从测试结果来看,绝大多数防火墙软件,均能有效地完成主机端口的屏蔽。其中,一直不被大家所看好的Windows防火墙,竟然也有出色的表现。而相比之下,江民和卡巴斯基,则在此项设置中略逊一筹。开启防护后,依然还会暴露出大量“非隐蔽(non-stealth)”端口,从而为系统带来更多的安全隐患。 1.2 反弹连接测试 为了绕过防火墙严格的传入连接过滤,很多木马在感染计算机系统后,都会主动向服务器(木马服务器),发出反向连接请求(传出连接)。因此,一款好的防火墙软件,除了要拥有强大的传入连接过滤,还要能够防范这种由内向外发出的不安全连接。而这,就是我们平时所常说的“反弹式连接”。一般来讲,测试反弹连接,主要是通过两大工具。一是由GRC公司出品的leaktest。而另外一款,则是由Robin Keir出品的firehole。 从技术上讲,leaktest和firehole的工作模式略有不同。其中,leaktest只是简单地将数据发送到grc.com,作为最终验证条件。而firehole则更为严格,只有当发出的数据获得正确应答后,才算穿透成功。图29 Leaktest界面截图(图示为防火墙已穿透!)图30 Firehole界面截图(图示为防火墙已穿透)图31 反弹连接测试对比(点击图片看清晰大图) 相比严格的正向防御,大多数防火墙在反向检测上并不强大。从上面的反弹测试可以看出,12款参评防火墙软件中,只有Norman和Jetico能够完全阻止“Leaktest”、“Firehole”的攻击。而其余各款防火墙,要么只能阻止某一测试,要么根本没有提供相应功能。而Windows防火墙中,众所周知的的单向防御缺陷,也在此次评测中表露无遗。6X-Scan综合扫描 1.3 X-Scan综合扫描 X-Scan是目前使用频率最高的一款综合型扫描软件。能够详细地提供出,被扫描端的操作系统类型、操作系统版本、标准端口状态、端口Banner信息、CGI漏洞、IIS漏洞、RPC漏洞、NT服务器NETBIOS等等信息。因此,接下来,我们也将利用这款软件,对各款参评防火墙,进行一次完整的扫描。图32 X-Scan扫描中截图图33 X-Scan扫描结果对比(点击图片看清晰大图) 在X-Scan的扫描结果中,国外防火墙的防御能力明显高于国内防火墙软件。而且,普遍采用的方法,都是直接让被保护机“灭失”(即令扫描工具无法找到存活机)。这样的设计,不但效率较高。而且,还能很好地规避软件设计中可能出现的疏漏。从而在实际应用中,获得最好的效果。 五、 性能影响测试 由于防火墙的技术特点所限,当它运行时,多少都会对网络的性能,造成一定影响。为了能够准确地评估出,各款防火墙软件在不同使用环境下的性能影响情况。我们分别从网络层和应用层这两个层面,开展了如下测试。 1.1 网络层性能测试 在网络层测试中,我们采用的是一款由lxia公司出品的Qcheck软件。作为目前最优秀的性能测试软件,Qcheck 3.0能够非常准确地测量出不同大小的网络封包,在TCP和UDP两种协议下的响应时间和吞吐带宽。其出色的性能表现,更是堪比专业的硬件检测工具。为了能让大家对测试数据有所参考,评测前,我们将首先记录空白系统下的测试成绩。 注:响应时间测试中,我们将采用Qcheck的自动检测机制。每组封包检测10次,取10次的平均值计入成绩。而吞吐带宽测试,则采用手动传输机制。每组封包检测3次,取3次的平均值计入表格。图34 Qcheck界面截图图35 响应时间对比(单位:ms)(点击图片看清晰大图)图36 吞吐带宽对比(单位:Mbps)(点击图片看清晰大图)7自我保护能力 1.2 应用层性能测试 而在应用层测试中,我们则是模拟了一项最基本的Web应用 —— 文件下载。其中,台式PC将开启IIS服务,建立一个最简单的下载页面。然后,通过笔记本(安装防火墙软件)的IE浏览器,从台式机网页中,下载事先存放好的测试文件(文件大小:144 MB)。最终,用秒表手动计量文件下载所需时间,并以此计入统计表格。和网络层测试一样,评测前,我们也将事先保留空白系统下的测试成绩。 注:传输用时包括浏览器自动将下载文件,由临时区拷贝至目标区域所消耗的时间。图37 模拟Web下载页面图38 文件下载用时对比图(单位:秒)(点击图片看清晰大图) 六、 自我保护能力 随着防火墙过滤能力的提高,要想轻松“穿墙”,已经不是那么容易了。于是,某些木马作者,便想出了一个更为简单的方法 —— 直接中止防火墙软件。于是,防火墙的自我防护能力,也就成为了我们接下来将要考察的一个重点。为了验证各参评软件,是否能够有效地防范恶意中止。我们将分别利用Windows自带的任务管理器和IceSword(冰刃)两款工具,开展中断测试。最终,成绩计入统计表格。图39 自我保护能力对比(点击图片看清晰大图) 从测试结果来看,各防火墙软件的自我保护能力并不乐观。除“Norman”和“卡巴斯基”以外,其余各款防火墙,均无法同时通过“任务管理器”和“IceSword”的中止测试。很难想像,在遭遇一些恶意木马时,我们的防火墙终究是否真的有能力,继续保障操作系统的安全。 七、 资源占用情况 作为一款电脑软件,资源占用永远都是我们需要关注的一个重点。毕竟,电脑总是拿来用的,如果宝贵的内存,总是被一些辅助工具所占用。那么,在进行一些正常操作时,难免就会出现捉襟见肘的现象。于是,接下来,我们将分别针对各防火墙,在静默运行(未开启主操作面板)和网络传输过程中的内存占用情况进行统计,数据取自IceSword。图40 资源占用情况对比(单位:KB)(点击图片看清晰大图) 八、 综合评定 经过一番详细的对比之后,12款防火墙的基本情况,已经完完整整地展现到我们面前了。从评测中可以看出,无论是网络延迟效应,还是实时防御能力,国外软件都比国产防火墙,有着更为明显的优势。不过,在这其中,Jetico和风云防火墙给我们的印象并不太好。测试中,几乎每一步操作,就能换回来一大串“问话”(即询问是否“允许XXX出站”、“允许XXX入站”等等)。不但使用麻烦,而且,频繁的问题也很容易,让使用者出现顺势思维错误(即习惯性点击“允许”,导致错误的规则批复),进而出现安全隐患。此外,多进程也是Norman和F-Secure两款软件的最大“亮点”。15~16个系统进程,足以促使它们成为此次评测的资源消耗大王。
相关软件:
大小:13.8 MB
授权:免费
大小:25.29 MB
授权:免费}
防火墙就是一个位于计算机和它所连接的相关信息之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙的功能
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
为什么使用防火墙
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
防火墙的类型
防火墙有不同类型。一个防火墙可以是硬件自身的一部分,你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行,该机器作为它背后网络中所有计算机的代理和防火墙。最后,直接连在因特网的机器可以使用个人防火墙。
防火墙的概念
当然,既然打算由浅入深的来了解,就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引...
防火墙定义
防火墙就是一个位于计算机和它所连接的相关信息之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙的功能
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
为什么使用防火墙
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
防火墙的类型
防火墙有不同类型。一个防火墙可以是硬件自身的一部分,你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行,该机器作为它背后网络中所有计算机的代理和防火墙。最后,直接连在因特网的机器可以使用个人防火墙。
防火墙的概念
当然,既然打算由浅入深的来了解,就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。再电脑术语中,当然就不是这个意思了,我们可以类比来理解,在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Intenet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Intenet,Intenet上的人也无法和公司内部的人进行通信。
防火墙的功能
防火墙是网络安全的屏障:
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
防火墙可以强化网络安全策略:
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
对网络存取和访问进行监控审计:
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防止内部信息的外泄:
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finge,DNS等服务。Finge显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finge显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
除了安全作用,防火墙还支持具有Intenet服务特性的企业内部网络技术体系VPN(虚拟专用网)。
防火墙的英文名为“FieWall”,它是目前一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。
防火墙在网络中经常是以下图所示的两种图标出现的。左边那个图标非常形象,真正像一堵墙一样。而右边那个图标则是从防火墙的过滤机制来形象化的,在图标中有一个二极管图标。而二极管我们知道,它具有单向导电性,这样也就形象地说明了防火墙具有单向导通性。这看起来与现在防火墙过滤机制有些矛盾,不过它却完全体现了防火墙初期的设计思想,同时也在相当大程度上体现了当前防火墙的过滤机制。因为防火最初的设计思想是对内部网络总是信任的,而对外部网络却总是不信任的,所以最初的防火墙是只对外部进来的通信进行过滤,而对内部网络用户发出的通信不作限制。当然目前的防火墙在过滤机制上有所改变,不仅对外部网络发出的通信连接要进行过滤,对内部网络用户发出的部分连接请求和数据包同样需要过滤,但防火墙仍只对符合安全策略的通信通过,也可以说具有“单向导通”性。
防火墙的本义是指古代构筑和使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火墙”。其实与防火墙一起起作用的就是“门”。如果没有门,各房间的人如何沟通呢,这些房间的人又如何进去呢?当火灾发生时,这些人又如何逃离现场呢?这个门就相当于我们这里所讲的防火墙的“安全策略”,所以在此我们所说的防火墙实际并不是一堵实心墙,而是带有一些小孔的墙。这些小孔就是用来留给那些允许进行的通信,在这些小孔中安装了过滤机制,也就是上面所介绍的“单向导通性”。
我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界网络之间的一道防御系统。防火可以使企业内部局域网(LAN)网络与Intenet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。典型的防火墙具有以下三个方面的基本特性:
(一)内部网络和外部网络之间的所有网络数据流都必须经过防火墙
这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业网部网络不受侵害。
根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
典型的防火墙体系网络结构如下图所示。从图中可以看出,防火墙的一端连接企事业单位内部的局域网,而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。
(二)只有符合安全策略的数据流才能通过防火墙
防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起,原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来,按照OSI协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口=2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。如下图:
(三)防火墙自身应具有非常强的抗攻击免疫力
这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。
目前国内的防火墙几乎被国外的品牌占据了一半的市场,国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻,价格上也更具有优势。防火墙产品中,国外主流厂商为思科(Cisco)、CheckPoint、NetSceen等,国内主流厂商为东软、天融信、联想、方正等,它们都提供不同级别的防火墙产品。
其他答案(共3个回答)
之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙肯定是属于软件范畴了.
硬件指的是外部设备,如果说显示器.硬盘.主机.主板等等,而软件就是在计算机里运行的一些程序包括操作系统等等.
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Intenet之间的任何活动, 保证了内部网络的安全。
防火墙定义
防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙的功能
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
为什么使用防火墙
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
防火墙的类型
防火墙有不同类型。一个防火墙可以是硬件自身的一部分,你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行,该机器作为它背后网络中所有计算机的代理和防火墙。最后,直接连在因特网的机器可以使用个人防火墙。
-----------------
防火墙属软件范畴。
1.什么是防火墙
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Intenet之间的任何活动, 保证了内部网络的安全。
2.使用Fiewall的益处
保护脆弱的服务
通过过滤不安全的服务,Fiewall可以极大地提高网络安全和减少子网中主机的风险。例如, Fiewall可以禁止NIS、NFS服务通过,Fiewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问
Fiewall可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如, Fiewall允许外部访问特定的Mail Seve和We Seve。
集中的安全管理
Fiewall对企业内部网实现集中的安全管理,在Fiewall定义的安全规则可以运行于整个内部网络系统, 而无须在内部网每台机器上分别设立安全策略。Fiewall可以定义不同的认证方法, 而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。
增强的保密性
使用Fiewall可以阻止攻击者获取攻击网络系统的有用信息,如Fige和DNS。
记录和统计网络利用数据以及非法使用数据
Fiewall可以记录和统计通过Fiewall的网络通讯,提供关于网络使用的统计数据,并且,Fiewall可以提供统计数据, 来判断可能的攻击和探测。
策略执行
Fiewall提供了制定和执行网络安全策略的手段。未设置Fiewall时,网络安全取决于每台主机的用户。
3.防火墙的种类
防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。
数 据 包 过 滤
数据包过滤(Packet Filteing)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑, 被称为访问控制表(Access Contol Tale)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、 协议状态等因素,或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用, 网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与Intenet连接必不可少的设备, 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。
数据包过滤防火墙的缺点有二:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击; 二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。
应 用 级 网 关
应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。 它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、 登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。
数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。 一旦满足逻辑,则防火墙内外的计算机系统建立直接联系, 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。
代 理 服 务
代理服务(Poxy Sevice)也称链路级网关或TCP通道(Cicuit Level Gateways o TCP Tunnels), 也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术, 其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的" 链接", 由两个终止代理服务器上的" 链接"来实现,外部计算机的网络链路只能到达代理服务器, 从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务也对过往的数据包进行分析、注册登记, 形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。
4.设置防火墙的要素
网络策略
影响Fiewall系统设计、安装和使用的网络策略可分为两级,高级的网络策略定义允许和禁止的服务以及如何使用服务, 低级的网络策略描述Fiewall如何限制和过滤在高级策略中定义的服务。
服务访问策略
服务访问策略集中在Intenet访问服务以及外部网络访问(如拨入策略、SLIPPPP连接等)。 服务访问策略必须是可行的和合理的。可行的策略必须在阻止已知的网络风险和提供用户服务之间获得平衡。 典型的服务访问策略是:允许通过增强认证的用户在必要的情况下从Intenet访问某些内部主机和服务; 允许内部用户访问指定的Intenet主机和服务。
防火墙设计策略
防火墙设计策略基于特定的Fiewall,定义完成服务访问策略的规则。通常有两种基本的设计策略: 允许任何服务除非被明确禁止;禁止任何服务除非被明确允许。第一种的特点是安全但不好用, 第二种是好用但不安全,通常采用第二种类型的设计策略。 而多数防火墙都在两种之间采取折衷。
增强的认证
许多在Intenet上发生的入侵事件源于脆弱的传统用户口令机制。多年来,用户被告知使用难于猜测和破译口令, 虽然如此,攻击者仍然在Intenet上监视传输的口令明文,使传统的口令机制形同虚设。增强的认证机制包含智能卡, 认证令牌,生理特征(指纹)以及基于软件(RSA)等技术,来克服传统口令的弱点。虽然存在多种认证技术, 它们均使用增强的认证机制产生难被攻击者重用的口令和密钥。 目前许多流行的增强机制使用一次有效的口令和密钥(如SmatCad和认证令牌)。
5.防火墙在大型网络系统中的部署
根据网络系统的安全需要,可以在如下位置部署防火墙:
局域网内的VLAN之间控制信息流向时;
Intanet与Intenet之间连接时(企业单位与外网连接时的应用网关);
在广域网系统中,由于安全的需要,总部的局域网可以将各分支机构的局域网看成不安全的系统, (通过公网ChinaPac,ChinaDDN,Fame Relay等连接)在总部的局域网和各分支机构连接时采用防火墙隔离, 并利用VPN构成虚拟专网;
总部的局域网和分支机构的局域网是通过Intenet连接,需要各自安装防火墙,并利用NetSceen的VPN组成虚拟专网;
在远程用户拨号访问时,加入虚拟专网;
ISP可利用NetSceen的负载平衡功能在公共访问服务器和客户端间加入防火墙进行负载分担、 存取控制、用户认证、流量控制、日志纪录等功能;
两网对接时,可利用NetSceen硬件防火墙作为网关设备实现地址转换(NAT),地址映射(MAP), 网络隔离(DMZ), 存取安全控制,消除传统软件防火墙的瓶颈问题。
6.防火墙在网络系统中的作用
防火墙能有效地防止外来的入侵,它在网络系统中的作用是:
控制进出网络的信息流向和信息包;
提供使用和流量的日志和审计;
隐藏内部IP地址及网络结构的细节;
提供VPN功能。
防火墙作用:防止外来黑客的入侵!
硬件防火墙是一种硬件,它的功能要比软件防火墙强大的多,而且它的内部也有CPU,我目前就是做防火墙的,我做的是美国的Fortigate防火墙,是一中功能比较强大的...
硬件防火墙一种硬件设备,它的速度比软件要快而且不占用CPU时间
防毒墙是防火墙的一种
它仅对网络病毒进行拦截
不包括恶意攻击
防火墙定义
防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙 禁止的是别人的机器 到你的机器的访问
开关的是协议端口,就是路
防毒墙 是你本机内部文件病毒的查杀跟来往文件 文件本身是否有毒
检查的是文件
答: 直接用腾讯手机管家可以了,这个软件我也在用,它可以一眼识别诈骗电话和诈骗短信的。如何你真的遇到了这样的电话和短信那就积极向反信息诈骗联盟举报吧,现在有这个“全民...
答: 网络技术电子邮件有了通达全球的Internet后,人们首先想到的是可以利用它来提供个人之间的通信,而且这种通信应能兼具电话的速度和邮政的可靠性等优点
答: 端口:500说明:InternetKeyExchange(IKE)(Internet密钥交换)端口:说明:RemotAuthenticatio...
大家还关注
Copyright &
Corporation, All Rights Reserved
确定举报此问题
举报原因(必选):
广告或垃圾信息
激进时政或意识形态话题
不雅词句或人身攻击
侵犯他人隐私
其它违法和不良信息
报告,这不是个问题
报告原因(必选):
这不是个问题
这个问题分类似乎错了
这个不是我熟悉的地区12款个人防火墙软件横向评测
1评测环境 如今,在很多涉及电脑安全问题的讨论中,我们常会提起这样一个词,这就是“防火墙”。和防病毒软件主要负责电脑内部的问题不同,防火墙的任务,更多的是处理来自网络外面的威胁。一般来说,市面上的防火墙,按照形式来分,大致可分为两种。即以专用芯片为载体的硬件防火墙和以个人电脑为载体的软件防火墙。虽然,从运行稳定性和网络效率来讲,硬件防火墙无疑有着巨大的优势,但其昂贵的价格,也足以让很多普通用户咂舌。而相比之下,软件防火墙虽然在性能方面稍显逊色,但凭借其低廉的价格和还算不错的防护能力,还是吸引到了不少用户的目光。那么,在面对市场上五花八门的防火墙软件时,您是否知道如何选择?今天,我们就集合了市面上比较流行的12款防火墙软件,从性能、防御能力、功能人性化程度等多个方面,为您进行一番真实的对比。看一看谁才是真正适合我们的防火墙软件。 一、 评测环境 在此次评测中,我们共安排了两台计算机。其中,安装防火墙软件并接受测试的,是一台酷睿2双核笔记本电脑。而辅助测试的,则是一台AMD Athlon 2200+台式PC。为保证最好的测试效果,两台电脑将使用一台D-Link交换机进行互联,其执行交换速率为100 Mbps。此外,为满足评测中的一些联网需要,我们还特意准备了一组2Mbps带宽的网通ADSL。 在软件配置方面,考虑到目前的实际情况,操作系统仍然选用了目前市场占有率最大的Windows XP Professional(补丁版本SP3)。同时,考虑到各防火墙软件之间,可能会产生一些互排斥问题。评测前,将首先对当前系统进行一次Ghost备份。每测试完一款软件,恢复一遍系统。同时,评测中系统自带的防火墙将处于关闭状态,除必要的评测软件之外,未安装其他任何工具。图1 笔记本电脑配置情况图2 台式PC配置情况 二、 软件界面表现 易用性是很多朋友,考察一款防火墙好坏的第一要素。而界面设计,又是与易用性关系最为密切的一项指标。于是,界面设计是否合理、用户操作是否便捷、显示的内容是否完善等等,便成为了我们判断一款防火墙优劣的首要标准。那么,在今天所参评的12款防火墙软件中,谁的界面设计更为出色呢?下面,还是让我们看一看它们的真实表现吧。 1.1 Agnitum Outpost Firewall Outpost的界面比较传统,采用了最为常见的左右式布局。点击左侧按钮,就能从右侧看到各种详细的功能选项。同时,为了兼顾不同水平的用户,Outpost还特意设计了“简易视图”和“专家视图”两种界面显示方式,能够很好地在易用性和功能性方面,达到一个平衡。在它的“防火墙”标签下,是一项攻击屏蔽记录和规则设置向导。同时,我们也可以通过这个标签,了解到各种详细的数据统计资料。 点击高速下载:图3 Outpost界面截图 1.2 ZoneAarm Firewall 和Outpost一样,ZoneAlarm同样采用了传统的左右式布局。不过,由于没有设计“简易界面”。因此,ZoneAlarm的选项看上去更为“丰富”。此外,滑动式选杆也是ZoneAlarm的一大特色。相比以前的菜单选项,ZoneAlarm的用户,能够直接将滑杆拖动到指定位置,来快速完成选择,大大提高了日常环境中的操作效率。此外,在规则设置上,ZoneAlarm也提供了“简洁”(滑杆方式)和“专家”(对话框)两种方式,同时照顾到了不同用户的操作需要。 点击高速下载:图4 ZoneAlarm界面截图 1.3 Norman Personal Firewall Norman也是采用了最为常见的左右式布局。但凭借其良好的界面配色和功能分布,使得整套软件条理感极强。在它的防火墙标签下,我们不但能够看到各种实时的统计信息。而且,还能快速完成“网络锁定”、“临时规则清除”、“专家日志”、“防火墙规则设定”等一些最常用的操作。此外,在Norman中,配置向导也是软件的一大特色。即使您是第一次使用Norman软件,也一定能够很快上手。 点击高速下载:图5 Norman界面截图 1.4 Jetico Personal Firewall 乍一看,Jetico很像是操作系统自带的任务管理器。在它的主界面上,我们能够非常直观地了解到,当前已允许和已阻止的通讯流量。而其他各项功能,则是以功能标签的形式,列示在窗口顶端,切换起来十分方便。此外,在Jetico中,“预设策略”则是它的最大亮点。在日常使用中,我们既可以针对策略重新编辑,也能直接建立自己所需的规则。同时,设在主界面顶端的“策略”选框,则能让用户非常方便地,在不同的策略间来回切换。 点击高速下载:图6 Jetico界面截图 1.5 F-Secure 相比之下,F-Secure的界面平淡无奇,但使用起来还是颇为顺手的。在这款软件中,防火墙只是作为“Internet防护”组中的一个部分,拥有“IP片断阻止”、“防御规则制订”、“服务进出限制”等一些最基本的防御功能。而“入侵防护”、“控制控制”、“应用程序控制”等其他组件,则与之并列,同时出现在更高一级的“Internet防护”标签下。虽然,这样的设计,可能会让某些用户感觉不适,但熟悉之后,还是比较好用的。 点击高速下载:图7 F-Secure界面截图2软件界面表现 1.6 Comodo Firewall 在界面上,Comodo采用了平时不太常见的上下式布局。所有功能均通过顶端四组按钮,进行切换。而在每个项目下,软件还特意为不同的使用人群,设计了“常用任务”、“高级任务”两大标签,人性化考虑比较完善。但相对于很多新手用户来说,Comodo的设计,条理性不强,可能不太容易快速上手。 点击高速下载:图8 Comodo界面截图 1.7 瑞星个人防火墙 单从UI来看,瑞星防火墙的确能够让我们眼前一亮。漂亮的配色加上合理的布局,让软件特别便于快速上手。在它的“工作状态”标签下,所有活动的程序,都会以小图标的形式,列示在图表上方。只要某一进程出现流量,便会在图标上快速闪动。这样,我们就能根据具体情况,采取相应措施了。而在其他功能上,瑞星防火墙也毫不逊色。包括“IP包过滤”、“恶意网址拦截”、“应用程序监控”、“出站攻击防御”等一系列常用的功能,都能在相关模块中找到,十分方便。 点击高速下载:图9 瑞星防火墙 界面截图 1.8 江民防火墙 江民防火墙的界面,设计得比较出色。与其他软件过分追求大而全不同,江民防火墙的主界面,只有那么窄窄的一条。而在这个面板中,用户可以非常方便地执行“安全级别调整”、“软件智能升级”、“防火墙暂停”、“网络强制中断”和“防火墙设置”这五项最常用功能。而更多的设置,则隐藏在界面底端的四个伸缩标签中。点击后,才会自动弹出。这样,无论是注重操作的普通用户,还是侧重功能的高级用户,都能在软件中找到适合自己的模式,大大提高了日常工作的操作效率。 点击高速下载:图10 江民防火墙界面截图 1.9 天网防火墙 和江民防火墙一样,天网防火墙同样采用了方便的可伸缩式面板。平时,各项常用功能,均以按钮的形式,出现在主面板上。当我们点击其中某一按钮时,相应面板便会自动弹出。而设计在主面板上的流量监视器,也很实用。当网络中出现一些异常流量时,监视器能够直观地将其显示出来。以帮助用户,在第一时间处理可能出现的威胁。 点击高速下载:图11 天网防火墙界面截图 1.10 卡巴斯基全功能安全软件 在卡巴斯基中,防火墙是作为整套卡巴斯基全功能安全软件的一个模块而存在的。由于配置了强大的木马查杀及主动防御机制。因此,卡巴斯基防火墙,相比来说功能比较简单。在这款软件中,无论是应用程序过滤、网络数据包过滤还是网络协议过滤,都能在这个面板中轻松找到。而双击即可修改、拖拽即可移动这样的操作,也让使用者倍感轻松。 点击高速下载:图12 卡巴斯基防火墙界面截图 1.11 风云防火墙 在界面设计上,风云防火墙同样采用了一种大家都很熟悉的横纵布局方案。通过顶端工具栏,用户可以很方便地完成“防火墙暂停”、“网络中断”、“防马暂停”等一些最常用操作。而左侧的“功能导航”区,则将软件的所有功能,完整地列示出来。虽然,风云的界面稍显混乱,但在实际操作时,还是比较方便的。 点击高速下载:图13 风云防火墙界面截图 1.12 诺顿Norton Internet Security 和卡巴斯基一样,诺顿防火墙也是附属于Norton Internet Security的一个安全组件。在界面布局上,沿袭了Norton 2009全新的UI风格,不但外观更加炫目。而且,各项功能按钮,也都采用了新颖的“拨动”式开关设计。在它的“Internet”标签下,除了最基本的出入站检查。软件还特别提供了“网络拓扑图”、“入侵防护体系”、“邮件消息扫描”等很多额外工具,为日常防护提供了更多帮助。 点击高速下载:图14 诺顿防火墙界面截图3规则设置对比1 三、 规则设置对比 为了应对不同的网络环境,我们常常会在防火墙默认的安全规则上,自行修改或补充。而规则的制订是否方便、覆盖范围是否全面、人性化设计是否合理等等,便成为了用户们最为关心的几项问题。接下来,我们便围绕以上几个方面,对12款参评防火墙,进行一番规则设置的对比。 1.1 Outpost Outpost的规则编辑比较容易,所有选项都集中在同一个界面。而我们所要做的,只是根据实际需要,选择触发事件,然后确定好通讯方向和许可权限。最终,便能完成一个“允许”或“禁止”的通信规则制订。此外,Outpost还有一项独特的“防火墙策略”功能,允许用户通过滑杆,快速选择不同的防护级别。图15 Outpost规则定义 1.2 ZoneAlarm ZoneAlarm同样为我们提供了专家和快速两种规则建立方案。相比Outpost,ZoneAlarm的专家规则更加详细。不但可以通过菜单,将“信任区”、“Internet区”和“本地电脑”等一些由ZoneAlarm自行设计的虚拟区域添加进来。而且,还特别提供了“Protocol(协议)”、“Time(时间区域)”等更多的设置选项,灵活度较强。图16 ZoneAlarm规则定义 1.3 Norman 在Norman中,规则创建完全采用了向导模式。虽然,这样的设计,很受一些新手用户的欢迎。但同时,也暴露出规则灵活度差,不利于熟练用户快速操作等等弊端。此外,Norman也没有提供其他防火墙中比较常见的,安全级快速修改功能,不利于经常需要切换网络环境的用户使用。图17 Norman规则定义 1.4 Jetico 相比之下,Jetico的规则对话框,比较实用。能够在同一个设置窗口,同时提供多组操作选项。此外,丰富的预设规则,也为软件的规则制订,提供了很大便利。稍加修改后,就能让它们适应全新的应用环境。除此之外,“进程攻击表”和“应用程序校验和”,也是这款软件中十分有特色的两项功能,大大提高了进程监控的灵活程度。图18 Jetico规则定义 1.5 F-Secure F-Secure的规则制订,也是采用向导模式。但和Norman相比,它的向导更加灵活。同时,也能为高级用户提供更多的可操作空间。其中,“通讯方向”可支持方便的鼠标可视化点击,能够让用户直观快捷地完成参数设定。而在这款软件中,一项“拨号连接”复选项,也颇为引人注目。虽然,这个选项听上去有些老土。但在某些特殊的环境中,还是非常有用处的。图19 F-Secure规则定义 1.6 Comodo Comodo的规则定义也很灵活,除了能够将硬盘上的某个程序,快速制成通讯规则。还能直接调用进程列表,选择运行中的某个进程,快速实现拦截。此外,在Comodo中,还有一些预设分类(如“临时文件”、“重要文件”、“系统程序”等),也是它的一大亮点。灵活地利用它们,也能方便地对某一类软件建立规则。图20 Comodo规则定义4规则设置对比2 1.7 瑞星防火墙 在瑞星防火墙中,规则定义也是采用向导模式。相比来说,每个选项还是比较完善的。同时,瑞星防火墙还为不同的工作模式(如锁定模式、交易模式等),提供了不同的访问策略。而这,也正是这款软件与其他同类工具最为不同的地方。图21 瑞星防火墙规则定义 1.8 江民防火墙 在规则设定上,江民防火墙同样使用了比较常见的综合选框形式。能够供用户自行定义“网络环境”、“收发IP”、“传输协议”、“端口情况”和“规则对象”等多种参数,较为适合中高级用户操作使用。此外,在江民防火墙中,还有一些专门针对于“冰河”、“Back Oriface 2000”等知名木马,所设立的专用规则,实用化程度很高。图22 江民防火墙规则定义 1.9 天网防火墙 在天网防火墙中,我们能够方便地通过顶端工具栏,进入“程序”、“IP”的规则设置区。而在这些面板中,各项参数都提供得非常齐全。其中,某些细节选项,只对某些有效协议显示(比如ICMP标签中,绝不会出现端口选项),大大降低了新手用户的操作难度。图23 天网防火墙规则定义 1.10 卡巴斯基 作为卡巴斯基安全套装的一部分,卡巴斯基防火墙,同样拥有一个功能全面的规则配置窗口。在它的设置面板中,我们能够直接调用或修改,预设好的规则模板。不过,和同类软件相比,卡巴斯基的防火墙统计有些另类,直观性也不太好。但是,我们却能利用它,方便地将某一进程的历史流量进行对比,以确定该进程是否存在问题,也算是一个很不错的设计了。图24 卡巴斯基防火墙规则定义 1.11 风云防火墙 风云防火墙的规则面板比较简洁,用户可以通过复选框,方便地完成规则制订。虽然,在它的规则面板中,我们没有看到其他防火墙所惯用的“日志模式”。但却可以利用工具栏中的“免除提示”,实现静默运行。图25 风云防火墙规则定义 1.12 Norton 在Norton防火墙中,规则制订面板也是采用向导形式。虽然,条理性相比更强,但它的弊端,同样是不适合专业用户快速进行设置。而在它的设置面板中,端口范围则是一项新颖的选项。借助它,我们能够方便地对一个端口区进行监控,特别适合于监督那些可能有危险的端口范围。此外,Norton防火墙同样具有完善的追踪与提醒功能,其入侵防御系统,能够自动断开攻击方与己方的网络通信(一段时间后解锁),以防产生更大的危害。图26 诺顿防火墙规则定义5端口静默扫描 四、 防御能力对比 作为一款防火墙软件,能否有效地抵御各种来自外界的威胁,无疑是我们重点考察的一个项目。为了能让测试结果更加有效,我们参考了真实的网络攻防情况,组建了“端口静默扫描”、“反弹连接测试”、“X-Scan综合扫描”这三组评测环境,以便综合对各款防火墙软件的基本防御能力,进行一番对比。 1.1 端口静默扫描 一般来讲,几乎所有的网络攻击行为,都是针对于特定端口展开的。因此,尽量减少端口在外人眼中的“曝光率”,便是降低电脑受攻击频率的一个最好方法。而这,也就是我们平时所说的“端口静默”。一般而言,端口的状态有三种:开启(Open)、关闭(Close)和隐蔽(Stealth)。其中,“关闭”状态,是我们平时最容易忽略掉的。事实上,对于一名有经验的黑客来说,即使端口处于“关闭”状态,也是可以通过一些特殊的查询实施攻击。因此,要想实现真正意义上的静默,就必须将所有不使用的端口,全部设为“隐蔽”状态。 在检测工具的选择上,我们挑选了时下受欢迎度较高的Shields UP!! 网站。该网站的特点,是能够对0到个端口进行扫描,同时以图形化形式,返回各端口的当前状态。不但使用起来非常简便,而且,它的检测精度,也是目前所有在线检测网站中,最全的一个了。图27 Shileds UP!! 端口检测截图图28 端口检测结果对比(点击图片看清晰大图) 由于端口检测,大多采用入站流量。因此,端口的扫描屏蔽操作,实际上也可以理解为防火墙防御功能的一个部分。而从测试结果来看,绝大多数防火墙软件,均能有效地完成主机端口的屏蔽。其中,一直不被大家所看好的Windows防火墙,竟然也有出色的表现。而相比之下,江民和卡巴斯基,则在此项设置中略逊一筹。开启防护后,依然还会暴露出大量“非隐蔽(non-stealth)”端口,从而为系统带来更多的安全隐患。 1.2 反弹连接测试 为了绕过防火墙严格的传入连接过滤,很多木马在感染计算机系统后,都会主动向服务器(木马服务器),发出反向连接请求(传出连接)。因此,一款好的防火墙软件,除了要拥有强大的传入连接过滤,还要能够防范这种由内向外发出的不安全连接。而这,就是我们平时所常说的“反弹式连接”。一般来讲,测试反弹连接,主要是通过两大工具。一是由GRC公司出品的leaktest。而另外一款,则是由Robin Keir出品的firehole。 从技术上讲,leaktest和firehole的工作模式略有不同。其中,leaktest只是简单地将数据发送到grc.com,作为最终验证条件。而firehole则更为严格,只有当发出的数据获得正确应答后,才算穿透成功。图29 Leaktest界面截图(图示为防火墙已穿透!)图30 Firehole界面截图(图示为防火墙已穿透)图31 反弹连接测试对比(点击图片看清晰大图) 相比严格的正向防御,大多数防火墙在反向检测上并不强大。从上面的反弹测试可以看出,12款参评防火墙软件中,只有Norman和Jetico能够完全阻止“Leaktest”、“Firehole”的攻击。而其余各款防火墙,要么只能阻止某一测试,要么根本没有提供相应功能。而Windows防火墙中,众所周知的的单向防御缺陷,也在此次评测中表露无遗。6X-Scan综合扫描 1.3 X-Scan综合扫描 X-Scan是目前使用频率最高的一款综合型扫描软件。能够详细地提供出,被扫描端的操作系统类型、操作系统版本、标准端口状态、端口Banner信息、CGI漏洞、IIS漏洞、RPC漏洞、NT服务器NETBIOS等等信息。因此,接下来,我们也将利用这款软件,对各款参评防火墙,进行一次完整的扫描。图32 X-Scan扫描中截图图33 X-Scan扫描结果对比(点击图片看清晰大图) 在X-Scan的扫描结果中,国外防火墙的防御能力明显高于国内防火墙软件。而且,普遍采用的方法,都是直接让被保护机“灭失”(即令扫描工具无法找到存活机)。这样的设计,不但效率较高。而且,还能很好地规避软件设计中可能出现的疏漏。从而在实际应用中,获得最好的效果。 五、 性能影响测试 由于防火墙的技术特点所限,当它运行时,多少都会对网络的性能,造成一定影响。为了能够准确地评估出,各款防火墙软件在不同使用环境下的性能影响情况。我们分别从网络层和应用层这两个层面,开展了如下测试。 1.1 网络层性能测试 在网络层测试中,我们采用的是一款由lxia公司出品的Qcheck软件。作为目前最优秀的性能测试软件,Qcheck 3.0能够非常准确地测量出不同大小的网络封包,在TCP和UDP两种协议下的响应时间和吞吐带宽。其出色的性能表现,更是堪比专业的硬件检测工具。为了能让大家对测试数据有所参考,评测前,我们将首先记录空白系统下的测试成绩。 注:响应时间测试中,我们将采用Qcheck的自动检测机制。每组封包检测10次,取10次的平均值计入成绩。而吞吐带宽测试,则采用手动传输机制。每组封包检测3次,取3次的平均值计入表格。图34 Qcheck界面截图图35 响应时间对比(单位:ms)(点击图片看清晰大图)图36 吞吐带宽对比(单位:Mbps)(点击图片看清晰大图)7自我保护能力 1.2 应用层性能测试 而在应用层测试中,我们则是模拟了一项最基本的Web应用 —— 文件下载。其中,台式PC将开启IIS服务,建立一个最简单的下载页面。然后,通过笔记本(安装防火墙软件)的IE浏览器,从台式机网页中,下载事先存放好的测试文件(文件大小:144 MB)。最终,用秒表手动计量文件下载所需时间,并以此计入统计表格。和网络层测试一样,评测前,我们也将事先保留空白系统下的测试成绩。 注:传输用时包括浏览器自动将下载文件,由临时区拷贝至目标区域所消耗的时间。图37 模拟Web下载页面图38 文件下载用时对比图(单位:秒)(点击图片看清晰大图) 六、 自我保护能力 随着防火墙过滤能力的提高,要想轻松“穿墙”,已经不是那么容易了。于是,某些木马作者,便想出了一个更为简单的方法 —— 直接中止防火墙软件。于是,防火墙的自我防护能力,也就成为了我们接下来将要考察的一个重点。为了验证各参评软件,是否能够有效地防范恶意中止。我们将分别利用Windows自带的任务管理器和IceSword(冰刃)两款工具,开展中断测试。最终,成绩计入统计表格。图39 自我保护能力对比(点击图片看清晰大图) 从测试结果来看,各防火墙软件的自我保护能力并不乐观。除“Norman”和“卡巴斯基”以外,其余各款防火墙,均无法同时通过“任务管理器”和“IceSword”的中止测试。很难想像,在遭遇一些恶意木马时,我们的防火墙终究是否真的有能力,继续保障操作系统的安全。 七、 资源占用情况 作为一款电脑软件,资源占用永远都是我们需要关注的一个重点。毕竟,电脑总是拿来用的,如果宝贵的内存,总是被一些辅助工具所占用。那么,在进行一些正常操作时,难免就会出现捉襟见肘的现象。于是,接下来,我们将分别针对各防火墙,在静默运行(未开启主操作面板)和网络传输过程中的内存占用情况进行统计,数据取自IceSword。图40 资源占用情况对比(单位:KB)(点击图片看清晰大图) 八、 综合评定 经过一番详细的对比之后,12款防火墙的基本情况,已经完完整整地展现到我们面前了。从评测中可以看出,无论是网络延迟效应,还是实时防御能力,国外软件都比国产防火墙,有着更为明显的优势。不过,在这其中,Jetico和风云防火墙给我们的印象并不太好。测试中,几乎每一步操作,就能换回来一大串“问话”(即询问是否“允许XXX出站”、“允许XXX入站”等等)。不但使用麻烦,而且,频繁的问题也很容易,让使用者出现顺势思维错误(即习惯性点击“允许”,导致错误的规则批复),进而出现安全隐患。此外,多进程也是Norman和F-Secure两款软件的最大“亮点”。15~16个系统进程,足以促使它们成为此次评测的资源消耗大王。
相关软件:
大小:13.8 MB
授权:免费
大小:25.29 MB
授权:免费}
我要回帖
更多推荐
- ·黑色星空黑色背景图片背景,让你感受宇宙的浩瀚与神秘🌌
- ·南科大凭什么比985机器人工程夏令营好申请吗?
- ·请问尼泊尔加德满都怎么去烧尸庙庙能进去参观吗?
- ·脸上有痘痘是痤疮和痘痘一样吗吗?
- ·为什么新疆北部降雪,是由于气旋和反气旋的典型天气造成
- ·有些吧友是不是对特摄片的定位和特摄片里的英雄番组的定位
- ·cf怎样cf怎么跳高箱子子,我会跳,但是要跳很久
- ·倩女幽魂手游异人修为异人和战甲怎么点技能升修为快?
- ·联盟又要搞事情,英雄联盟赵信完成重做重做是面目全非还是浴火重生
- ·荒野行动画质:还原中国风画质,这不是我小时候的家门口吗
- ·熊猫奶盖茶里面有什么手游茶记怎么样,好不好的默认点评
- ·求华晨宇《华晨宇代号魂斗罗mp3》音乐资源
- ·荒野行动pc版怎么全屏怎么都这么难了
- ·打开游戏错误系统win10系统重新下了三次没用求助大佬
- ·怎么把dnf小号怎么养大号换到大号啊,求解答
- ·很烦,没有提示是否用原有游戏角色原画
- ·4.05能玩psv女神异闻录4好玩吗吗
- ·法典火和凯恩和原计划超能芯片片哪个好
- ·你好,能充值游戏点卡充值代理吗
- ·炫舞神秘钥匙时代前世今生里面的钥匙,前世更新的时候,没有抽的钥匙会清空吗
- ·服务器硬件防火墙墙与软件防火墙有什么区别
- ·YY直播手机游戏有个小窗口可以看到映客游客不能打字打字和进去,怎么整的?
- ·想装机中特效吃鸡特效全开配置,这配置怎么样
- ·诺基亚3310 4g什么时候开卖要在国内开卖了吗
- ·为什么我的6s跑这个游戏帧数低很低
- ·和安琪拉哪个厉害 王者荣耀妲己的乳头和安琪拉对比解析
- ·小米Note3有小米6语音唤醒醒吗
- ·国内的破碎机主要有哪类型规格型号 服务类型有哪些
- ·Android手机收不到合通启天正启动平台选择下发的短信验证码??
- ·17MM40MM厚PC耐力板厚度,有哪些厂家可以生产
- ·口袋资源伸手党吧福利:组建中端或高端显卡需要多大功率的电源
- ·有没有地方中超风云紫卡平均战力荣耀战力比较低的.求一个人明天帮我改
- ·掉帧最多掉20帧是因为什么要lol掉帧怎么解决决
- ·Android登录合通启平台如何添加oppo自启动应用白名单单列表?
- ·Android手机自动屏蔽合通启短信验证码平台怎么解除??
- ·华为ceo余承东手机进军美国市场被阻怎么回事 华为ceo余承东余承东回复
