防黑利器——个人防火墙产品评测报告
在这个充斥着黑客和“拒绝服务”攻击的计算世界中,企业防火墙对网络系统管理员们是必不可少的设施,但是这还远远不够。企业防火墙就像保卫中世纪的市镇的石头城墙一样,保护着网络上的PC和服务器。但是,攻击也可能来自内部。并不是所有企业内部的人都值得信任,而且,某些好奇的职员也会偶尔迈出城墙到城外漫步,而那正是盗贼潜伏和出没的地方。这时,你就需要个人防火墙了。个人防火墙就像每个村民家门上的门锁一样让其免受内部网络和外部网络的威胁。有时外部攻击的确可能绕过公司的企业防火墙而进入企业内部。
最初,个人防火墙主要用来保护家庭上网用户家中那些始终与Internet保持连接的线缆调制解调器或DSL线路。现在它们对任何经常通过办公室里的局域网连上Internet的笔记本电脑来说也必不可少了。我们测试了3种Internet防火墙软件:BlackIce Defender、Norton Internet Security 2000和ZoneAlarm 2.0。所有这些软件都能向您提供适当的保护。你可以根据它们各自的特性和部分操作系统方面的限制来决定你的选择。
如果你对自己的网络客户机或者笔记本电脑在安全性方面是多么脆弱一无所知的话,可以使用一下加州吉布森调查公司(Gibson Research Corp.)的www.grc.com网站上提供的“Shields Up”服务来探测一下你的系统可能的漏洞。你只需要用鼠标点击其网页上的盾牌图标就能完成探测过程。现有的企业防火墙不能完全自动地保证系统的安全。一台机器上有65535个用于通讯的端口,任何一个处于开启状态的端口都有面临攻击的可能性。“Shields Up”服务能告诉你一台PC上是否存在任何没有保护的端口,并且它们是否处于“隐秘”(stealth)状态下。我们试验的这3款Internet个人防火墙都关闭了那些常用的端口,能够最大限度地防止未经授权的访问。在企业防火墙或代理服务器后端,大部分的端口都保持关闭状态,但是它们仍然是可见的。随机应变的黑客可以发现这些端口,并可能偷偷溜进来。因此,最好的办法就是让端口处于“隐秘”状态,这样黑客就不太可能会察觉到它们的存在。但是端口不是唯一值得关心的事情,具有唯一性的用户IP地址和网卡的物理地址(MAC地址)都有可能暴露你的身份,引来黑客的攻击。我们测试的3个防火墙产品都能够杜绝MAC地址和任何共享资源的泄漏,在大多数情况下,它们都能有效地阻止来自外部的扫描探测。但是这还远远不够,在Internet上保持用户隐私和保证系统安全一样重要。
Norton Internet Security 2000是3款个人防火墙中功能最齐全的产品,配置也非常简单。这个软件包中还加入了Symantec公司的防病毒软件Norton Antivirus 2000,是3款软件中唯一具有防毒功能的防火墙产品。不幸的是,其现在的版本只能运行在Windows 95/98上。BlackIce Defender和ZoneAlarm可以抵御“特洛伊木马”的攻击,Norton Antivirus 2000则在具备防毒功能的同时提供频繁更新的病毒知识库。Norton Internet Security 2000可以同时监控防火墙、Java小应用程序和ActiveX控件。除非用户允许,防火墙能拦阻网络上的全部通信。用户能阻止或者允许任何Java或ActiveX代码的执行,或者根据需要选择执行。Norton Internet Security 2000对隐私的保护功能也非常强大。用户输入的特定字符串——数字、口令、电子邮件地址、名字等等在经过防火墙时,系统都会给出提示。安装Norton Internet Security 2000需要至少60M的硬盘空间,其价格比其它两个产品要贵些。但是它的端口隐蔽功能不是很完善,而且要是推出能够在NT和Windows 2000上运行的版本就更加完美了。
BlackIce Defender能够为用户提供强有力的安全保护,但是功能比较单一。它只监控网络上的数据流,没有提供任何详尽的配置工具和隐私保护。BlackIce能够监视并发现系统中的可疑事件,一旦有可疑的迹象发生,一个图标就会变红并不断闪动来报警。BlackIce的屏幕能够告诉你系统的什么部分正在遭受攻击或者扫描探测,并且能显示攻击的发源地。
仅仅需要大约2M硬盘空间的ZoneAlarm 2.0适合预算紧张的用户,因为它对于个人和非盈利性使用是免费的。作为一个免费的应用软件来说,ZoneAlarm的功能已经足够强大了。它把我的试验系统上的全部常用端口置于“隐秘”模式之下——在这一点上优于其它2款防火墙。当系统中的应用程序试图连接Internet的时候,ZoneAlarm会让用户决定是否允许这一类操作继续进行。但是,这些经常出现的信息可能很烦人。当然,用户可以让ZoneAlarm总是允许网景的Navigator或是微软的Outlook访问Internet,正确设置以后,ZoneAlarm就不会再次询问了。激活的ZoneAlarm任务条上有一个标记着“停止”记号的图标,用户的一次鼠标单击就可以中断任何可疑的网络连接。更方便的是,这种中断操作可以自动化。例如,无论什么时候,只要用户离开电脑,屏幕保护程序被启动起来后,未经允许的网络连接就不能进行。ZoneAlarm的安全设定分别针对本地网络和Internet实施,但是用户只能选择高、中、低三级保护。在资源保护的粒度上,ZoneAlarm缺乏Symantec的防火墙那样拦截Java和ActiveX的能力。它也没有提供对用户隐私的保护。
发布人:netbull 来自:网络安全