近日看了一篇文章关于防火墙的一个综合评测,几乎囊括市面所有已知的防火墙,个人感觉颇有权威性,特转给大家。对大家选用防火墙,应该颇有参考意义
由于测试数据非常之详细,文章相当之长。大家要有心里准备啊!
内外兼修 – 防病毒防火墙一个都不能少
早期的计算机用户大多是作为个体而与网络进行交互的,即使是现在,大部分用户仍然处于企业级信息保护伞之外。事实上包括企业用户在内,随着计算设备不断向着移动化的方向发展,所有用户都在更多的直面信息安全问题的威胁。这一切使得个人计算机安全产品的作用显得尤为重要。
如果说防病毒产品掌管着个人计算机安全的“内科”,那么防火墙产品则是计算机安全的“外科”。相对于监测计算机内部恶意威胁的个人防病毒软件来说,个人防火墙软件可以满足控制外网访问和屏蔽安全入侵的要求。随着来自外网的恶意攻击日益猖獗,个人防火墙软件正与个人防病毒软件合璧,共同成为个人计算机安全产品领域的黄金搭档。
1991年-1992年 TCP/IP从局域网走向广域网,安全需求开始出现。
1993年-1994年 基于代理机制的软件防火墙出现并开始受到市场的关注。
1995年-1996年 基于IP过滤的防火墙替代基于代理的防火墙成为新的主流。
1997年-1998年 防火墙有效结合IP过滤和代理机制,PC平台的防火墙产品开始窜升。
1999年-2000年 防火墙设备超过基于服务器平台的软件防火墙并推动了安全市场的成长。
2001年-2002年 整合多种功能的个人防火墙产品受到用户的广泛认同。
2003年-2004年 微软在操作系统中集成防火墙功能给防火墙市场带来了深远影响。
2005年-2006年 安全威胁的复杂化为个人防火墙产品提出了新的要求和挑战。
阵前点将 – 谁是真的英雄
面对市场上众多品牌的个人防火墙产品,用户颇有些乱花渐欲迷人眼的感觉,帮助用户拨开迷雾、对各种个人防火墙产品形成清晰的认知成为我们策划这次评测的核心目标。谁是最强悍的个人防火墙软件?谁更加贴近用户需要?谁最具独创性?我们在这次评测中汇集了大量具有良好用户口碑和市场影响力的个人防火墙产品,通过性能、防御能力、功能、可管理性、易用性等多个方面的详细测试和评估,力求让读者在本次评测中获得这些问题的答案,并发现最适合自己的个人防火墙产品。
参测产品信息 ZoneAlarm BlackICE Symantec McAfee lookNstop 金山 江民 瑞星 天网 费尔 Outpost
基本信息
产品版本 Zone Alarm Pro 6.5.722 BlackICE PC Protection 3.6 Symantec Personal Firewall 2006 McAfee Personal Firewall 8.5 LookNstop 2.05 金山网镖2006 江民黑客防火墙 9.0.5.902 瑞星个人防火墙 18.14 天网防火墙2.7.7 费尔个人防火墙3.0.0.1627 Outpost Firewall Pro 3.51
网址
http://www.zonealarm.com http://www.cemtek.com.cn http://www.symantec.com.cn http://www.mcafee.com.cn http://www.looknstop.com http://db.kingsoft.com http://www.jiangmin.com http://www.rising.com.cn http://pfw.sky.net.cn http://www.xfilt.com http://www.agnitum.com
我们如何评测
这次评测所采用硬件环境中包含了两台计算机,安装防火墙软件进行测试的计算机是一台HP畅游人系列的品牌计算机(以下简称HP),该计算机的使用AMD闪龙3200+处理器,配备了256M的DDR内存,80G容量的7200转硬盘。辅助测试的是一台IBM T40的笔记本计算机(以下简称IBM),配置为讯驰1.3G处理器,768M内存,40G容量的5400转硬盘。这两台计算机通过TP-Link百兆交换机连接在一起,为了保证测试结果的精确,所有设备均使用D-Link 1.5米长度的成品网线与交换机相连。该交换机上连接了ADSL拨号设备,连入互联网的线路带宽为1M。该线路主要用于产品更新和一些需要连入外网的测试项目,为了避免ADSL拨号设备对测试造成干扰,我们没有启用该设备自身的拨号功能,而是由需要连入外网的计算机自行拨号。
软件环境方面,HP使用的是Windows XP专业版操作系统,系统补丁状态为SP1,这是为了测试在系统具有安全漏洞的情况下防火墙软件能够提供多大限度的保护;IBM使用的是原机自带的Windows XP专业版操作系统,系统补丁状态为SP2。两台计算机上没有启用任何防火墙功能,同时安装了测试过程中需要使用的工具软件。我们为所有参加测试计算机的基准软件环境建立了镜像,在测试每个产品之前会首先使用该镜像将测试环境恢复到基准状态。另外,所有测试在2006年3月10日的14:00至20:00之间完成,以确保将更新时间不同的影响降至最低。
性能测试
为了综合评估每个参测产品的性能,我们安排了多个性能测试项目。最主要的测试是对安装了参测产品的HP进行传输响应时间和吞吐能力的检验,同时为了评估应用层的传输性能,我们测试了所有产品在HTTP协议下的数据传输速度,另外我们还观测和记录了每种产品的系统资源占用情况。
注:在性能测试中所有参测产品均采用默认选项,网卡的传输速率和双工模式设为自动。
我们使用的性能测试软件来自于Ixia公司,Ixia公司生产的IP网络性能测试软件在全球居于领先地位,其主力产品Chariot更是堪与硬件检测设备媲美。由于本次评测并不需要开展过于复杂的测试而且考虑到Chariot昂贵的许可证费用,我们最终选择使用Chariot的同门师弟Qcheck完成测试。Qcheck 3.0具有基本的测试功能,使用了与Chariot相同的底层技术并且可以免费获得(
http://www.ixiacom.com/downloads/products/qcheck/qcinst3.0.exe)。利用Qcheck我们完成了对参测产品的传输响应时间和吞吐能力测试,覆盖了TCP和UDP两种传输协议下的不同网络封包大小。在所有测试项目中参测产品都部署在HP上,由IBM控制测试的进行。虽然Qcheck支持从任意一个节点发起网络流量,但为了模拟实际应用环境中接收数据大于传出数据,同时也是为了统一起见,我们的所有测试流量均由IBM发起。开展该部分测试之前,我们首先在未安装防火墙软件的基准测试环境下进行了网络传输性能的测试,以用于与部署了参测产品后的测试数据进行对比。
注:传输响应时间测试由Qcheck自动执行10次并记录平均值,吞吐能力测试手动执行5次并记录最高值。
在HTTP传输测试中,我们在IBM上启用了IIS服务,同时在可访问的Web目录下放置了一个大小为300MB的测试文件,通过HP上的IE浏览器下载该文件并记录下载时间,评估出在部署了不同防火墙软件时应用层协议的传输速度。同样地,我们也记录了在不安装防火墙软件时的传输速度作为参考。
防御能力测试
作为个人防火墙软件,是否能够可靠的防御外来的安全威胁是最重要的考量,我们参考真实攻防环境中的情况对参测产品的一些基本防御特性进行了检验。
防火墙软件非常重要的一个特性在于部署了防火墙的计算机在外网用户看来是什么状态,能够更好将计算机隐蔽起来的的产品无疑能带给用户更高的安全性。由于几乎所有网络攻击都针对特定的端口开展,所以一台得到良好保护的计算机应该是处于“端口静默”的状态。目前全球有多个在线执行端口状态检测的网站,GRC的Shields UP!!是检测细度最高的一个,我们让HP拨号连入Internet进行该项测试。我们执行的是针对所有端口的状态检测,Shields UP!!会对从0到1055的共计1056个端口进行检测并返回每个端口所处的状态。另外根据我们的测试,在不安装防火墙软件的情况下,Windows XP的大部分端口都处于关闭状态。
端口静默
信息安全领域一个通用的原则是尽可能关闭需要的功能和服务,但是一个被经常性忽略的事实是既使关闭了服务并不代表相关的端口就处于不可用的状态。端口通常有三种状态:打开(Open)、关闭(Close)、隐秘(Stealth)。事实上,既使端口处于关闭状态也并不意味着攻击者不能利用该端口开展攻击活动。一些软件的协议栈会对发向端口的特定格式的查询进行响应,即使这些端口处于关闭状态。这类问题很可能被攻击者利用,例如通过这些端口实施拒绝服务攻击。也就是说一个所有端口都处于关闭状态的计算机仍旧不是绝对安全的,真正安全的计算机应该是“端口静默”的,全部不使用的端口设置都应被置为隐秘模式。
除了防止外来的非授权连接之外,防火墙软件还必须阻止计算机向外发起不安全的连接。Windows XP所内含的防火墙功能最为用户诟病的就是只管理从外向内的连接而不管理从内向外的连接,如果用户的计算机感染了木马后门(特别是使用反向连接的木马程序)将使防火墙的保护形同虚设。我们使用三种工具测试每个产品是否能阻止向外的连接,这三项测试同样需要HP拨号连入Internet。leaktest是GRC的一款测试工具,它以是否能够成功的将数据发送到grc.com作为防火墙软件屏蔽功能的验证条件。tooleaky也与leaktest一样连入grc.com进行防火墙穿透的测试,但与leaktest不同的是,tooleaky通过IE浏览器的组件对外网进行访问。由于IE通常是防火墙软件信任的应用程序,所以事实上可以利用这些IE组件的程序都会成为受到信任的应用程序。firehole连入的是keir.net的Web端口,其工作机制基本与tooleaky一样。相对于其它两种检测工具,firehole的测试条件更加严格一些,只有发出数据包后获得了正确的应答才算作穿透成功。
什么是反向连接
反向连接也被称为反弹式连接,是为了突破防火墙保护而形成的一种网络连接方法,这种连接方法现在被广泛的应用于各种木马后门程序当中。由于防火墙规则通常禁止由外网向内网的网络连接但是却允许从内网向外网发起连接,所以很多恶意程序通过监听特定端口并使目标计算机主动连接自己的方式使防火墙保护失效。
为了尽可能展现参测产品抵御攻击的实际能力,我们在IBM上使用相对通用的扫描工具和攻击工具对部署了防火墙软件的HP进行测试。在扫描方面我们利用了X-Scan 3.3中文版(
http://www.xfocus.net/tools/200507/X-Scan-v3.3-cn.rar),这个安全检测程序集成了大量常见的扫描检测功能和安全漏洞扫描脚本,可以全面的评估目标计算机的安全情况。利用该工具可以不必单独的利用不同工具进行扫描测试,而我们也会将扫描所获得的信息分类进行展示。该项测试目标计算机信息的发现以少为佳,只有那些不会泄漏任何信息的防火墙软件才能够通过该测试。另外,由于HP的操作系统存在一个远程缓冲区溢出漏洞,我们在IBM上使用一个DCOM RPC Exploit漏洞利用程序检测HP上安装的防火墙软件是否能阻止该攻击。如果防火墙提供了正确的保护,该漏洞利用程序通常会提示目标计算机有防火墙保护或进入死循环,而在没有得到防火墙保护的情况下,该程序能够获得HP计算机的一个远程Shell。
注:除检测外向连接的测试之外其它的防御能力测试都同时测试了产品的默认配置和最高防护级别。
功能测试
通常情况下我们会对参测产品的功能组件和架构进行综合性的评价,而过滤恶意攻击是防火墙软件的核心,所以我们将在此次评测中着重考察产品所支持的过滤功能和方式。除此之外,我们也对参测产品的各种附加功能进行了评估,特别是对于一些具有创新意义和实用价值的功能,我们会给予充分的考量。
可管理性测试
配置上相对灵活的产品往往能够获得更大的可用性,在该项测试当中我们力图充分的展现每个产品的定制能力。在可管理性测试部分侧重于考察参测产品进行选项配置的能力,同时在必要的情况下对选项设计及其合理性进行评估。该测试部分的重点是定义防火墙规则的能力,另外产品安全级别的设置也是关注的焦点之一。
易用性测试
为了评估程序是否容易使用,我们测试了每个参测产品的多个常用操作的肌肉事件数,以求根据这些数据评估参测产品的操作负担,并结合参测产品的屏幕使用比例、布局紧凑性、信息丰富程度、记忆负担、配置选项合理性等因素最终评估出软件的易用性。
注:所有产品均以默认状态下的主界面作为肌肉事件数测试的起点。
肌肉事件数
软件操作过程中肌肉动作的数量通常被称之为肌肉事件数。以一次鼠标点击操作为例,其中包含了寻找目标的眼球移动、移动光标的手臂移动和点击鼠标的手指移动共计3次肌肉事件。不过并不是所有的鼠标操作都是3次肌肉事件为一组,例如一个普通的双击操作应计为4次肌肉事件。另外还有一些特例,例如一些程序菜单可以通过将鼠标移动到菜单项上展开而无需进行鼠标点击、在点击鼠标之后下一个目标与当前光标位置相同而无需移动手臂等等。通常该数值越少说明用户在软件的使用过程种物理负担越小,同时也能够在很大程度上反映出软件用户接口设计上的合理性。
评分规则
性能:20分
防御能力:30
功能:10分
可管理性:15分
易用性:15分
测试数据表 ZoneAlarm BlackICE Symantec McAfee lookNstop 金山 江民 瑞星 天网 费尔 Outpost
系统资源占用
安装文件大小 8.91MB 6.42MB 24.1MB 6.38MB 633KB 10.2MB 8.48MB 9.8MB 4.83MB 4.39MB 6.29MB
进程数 20 21 34 25 19 20 19 20 19 20 19
线程数 274 259 403 287 254 272 265 281 243 286 272
内存可用数 133600K 154528K 90828K 119168K 145424K 146700K 140724K 138556K 142932K 133236K 139216K
TCP协议传输响应时间 (响应时间的单位为毫秒/第一列测试数据为不安装防火墙情况下的测试数据)
64 bytes 1 1 1 1 1 1 3 1 1 1 1 1
1024 bytes 1 1 1 1 1 1 3 1 1 1 1 1
5000 bytes 1 1 1 1 1 1 3 2 1 1 2 1
10000 bytes 1 1 1 1 1 2 4 3 1 1 2 1
15000 bytes 2 2 1 1 1 2 4 4 1 1 2 1
20000 bytes 2 2 2 2 2 2 5 5 2 2 3 2
32000 bytes 3 3 3 3 3 4 6 8 3 3 4 3
UDP协议传输响应时间 (响应时间的单位为毫秒/第一列测试数据为不安装防火墙情况下的测试数据)
64 bytes 1 - 1 1 1 1 1 1 1 1 1 1
1024 bytes 1 - 1 1 1 1 1 1 1 1 1 1
5000 bytes 1 - 1 1 1 1 1 2 1 1 2 1
10000 bytes 1 - 2 1 1 2 1 4 1 1 4 1
15000 bytes 2 - 2 2 2 2 2 5 2 2 4 2
20000 bytes 3 - 3 3 3 3 3 7 3 3 6 3
32000 bytes 4 - 5 4 5 6 4 10 4 4 9 4
TCP协议吞吐能力 (吞吐能力的单位为Mbps/第一列测试数据为不安装防火墙情况下的测试数据)
64K 85.335 73.144 73.144 85.335 85.335 85.335 14.222 26.948 85.335 73.144 64.001 85.335
100K 88.89 80.001 80.001 88.89 88.89 88.89 20.513 28.572 88.89 80.001 66.667 88.89
200K 94.118 88.889 88.889 94.118 94.118 88.889 34.043 30.189 94.118 80 76.191 94.118
300K 92.308 88.889 88.889 92.308 92.308 92.308 42.857 30.769 92.308 92.308 77.42 92.308
400K 94.118 88.889 88.889 94.118 94.118 91.429 49.231 31.373 94.118 91.429 80 94.118
500K 93.023 90.909 88.889 93.023 93.023 93.023 55.556 31.496 93.023 93.023 81.633 93.023
600K 94.118 91.803 88.889 94.118 94.118 87.273 59.259 31.579 94.118 92.308 82.759 94.118
700K 93.333 91.803 91.803 93.333 93.333 75.676 62.222 32 93.333 93.333 81.16 93.333
800K 94.118 92.754 90.141 94.118 94.118 87.671 65.306 32.673 94.118 92.754 83.177 94.118
900K 94.737 93.507 93.507 94.737 94.737 86.747 67.925 31.579 94.737 93.507 76.596 94.737
1000K 94.118 93.023 89.888 94.118 94.118 90.909 69.565 31.746 94.118 93.023 76.191 94.118
UDP协议吞吐能力 (吞吐能力的单位为Mbps/第一列测试数据为不安装防火墙情况下的测试数据)
64K 56.89 - 46.546 56.89 56.89 56.89 56.89 24.381 56.89 56.89 26.948 56.89
100K 53.334 - 44.445 53.334 53.334 53.334 53.334 24.243 53.334 53.334 26.667 53.334
200K 55.173 - 45.715 55.173 53.334 44.445 55.173 23.53 55.173 55.173 26.667 53.334
300K 54.546 - 44.445 54.546 53.334 42.857 54.546 23.762 54.546 54.546 26.966 54.546
400K 54.273 - 45.714 54.273 53.333 41.559 54.273 24.242 54.273 54.273 26.891 54.237
500K 54.054 - 45.977 54.054 51.948 47.059 54.054 23.669 54.054 54.054 26.667 54.054
600K 53.933 - 46.154 53.933 52.747 45.283 53.933 24.121 53.933 53.933 26.816 53.333
700K 53.846 - 46.281 53.846 53.333 42.748 53.846 24.242 53.846 53.846 26.794 53.333
800K 54.237 - 46.377 54.237 52.459 42.384 54.237 24.151 54.237 54.237 26.778 53.782
900K 54.135 - 53.135 54.135 52.941 46.753 54.135 24.161 54.135 54.135 26.966 53.731
1000K 54.054 - 44.444 54.054 51.613 45.977 54.054 24.096 54.054 54.054 26.667 53.691
HTTP传输速度 (第一列测试数据为不安装防火墙情况下的测试数据)
完成时间 32秒 44秒 52秒 51秒 84秒 62秒 51秒 120秒 50秒 43秒 40秒 81秒
端口静默测试
GRC默认配置 开放 0 0 0 0 0 3 2 0 0 0 0
关闭 0 1 0 1 0 1050 1050 0 3 0 0
静默 1056 1055 1056 1055 1056 3 4 1056 1053 1056 1056
GRC最高配置 开放 0 0 0 0 0 1 2 0 0 0 0
关闭 0 1 0 0 0 37 1050 0 1 0 0
静默 1056 1055 1056 1056 1056 1018 4 1056 1055 1056 1056
外向连接测试
leaktest √ × √ √ √ √ × √ √ √ √
firehole × √ × × √ × × × × × √
tooleaky × × × × × × × × × × √
扫描测试
X-Scan
扫描测试 默认模式 √ × × × √ × × × √ × √
TCP端口 - 10 9 3 - 6 10 10 - 3 -
空会话 - √ × × - × √ √ - √ -
NetBIOS信息 - √ √ × - √ √ √ - √ -
共享信息 - √ × × - × √ √ - √ -
用户帐号 - √ × × - × √ √ - √ -
操作系统识别 - √ × × - × √ √ - √ -
漏洞发现 - 11 6 0 - 0 10 10 - 7 -
最高模式 √ × × √ √ × × × √ × √
TCP端口 - 10 9 - - 6 10 10 - 3 -
空会话 - √ × - - × √ √ - √ -
NetBIOS信息 - √ √ - - √ √ √ - √ -
共享信息 - √ × - - × √ √ - √ -
用户帐号 - √ × - - × √ √ - √ -
操作系统识别 - √ × - - × √ √ - √ -
漏洞发现 - 11 6 - - 0 10 10 - 7 -
攻击测试
DCOM RPC Exploit √ √ √ √ √ √ √ × √ √ √
安全过滤功能
恶意软件保护 √ × × × × √ × √ √ × √
个人信息保护 √ × √ × × √ × √ × √
URL过滤 √ × √ × × √ × × × √ √
电子邮件过滤 √ × × × × √ × × × × √
广告阻止 √ × √ × × × × × × √ √
脚本过滤 √ × √ × × × × × × × √
嵌入式对象过滤 √ × √ × × × × × × × √
图片 × × √ × × × × × × √ √
Flash × × √ × × × × × × √ √
附加功能
通信切断 √ × √ × × √ √ √ √ √ √
密码保护 √ × √ × √ √ × √ √ √ √
入侵检测 √ √ √ √ √ × × × √ × √
系统漏洞扫描 × × × × × √ × √ × × ×
NAT支持 √ × × × × × × × × × ×
信息反馈
提示方式 日志 √ √ √ √ √ √ √ √ √ √ √
报警 √ √ √ √ √ √ √ √ √ √ √
声音 × √ × √ √ √ √ √ √ √ √
日志功能 分类显示 √ × √ √ √ × × √ √ √ √
日志导出 × × √ √ × √ × × √ √ √
粒度定义 √ √ × × √ × × × × × √
可管理性
IP规则管理 协议支持 多 × 一般 极多 很多 一般 多 很多 多 很多 很多
端口 √ × √ √ √ √ √ √ √ √ √
方向 √ × √ √ √ √ √ √ √ √ √
优先级 √ × √ √ √ √ √ √ √ √ √
处理方式 通过 √ √ √ √ √ √ √ √ √ √ √
阻塞 √ √ √ √ √ √ √ √ √ √ √
忽略 √ × √ × × √ × × √ √ √
询问 √ √ √ √ × √ √ √ × × √
中止 √ √ × × × × × × × × √
网络区域 数量 6 - 4 2 5 2 - 5 - 3 5
自定义 √ - √ √ × × - √ - √ √
安全级别 数量 3 4 3 5 5 3 3 3 4 3 5
默认级别 3 2 4 2 4 3 2 2 3 2 2 3
自定义 √ × √ √ √ √ √ × √ √ ×
易用性
中文版本 × × × × × √ √ √ √ √ ×
是否需要重启 安装 √ × √ × √ × × × √ √ √
卸载 √ × √ √ × √ √ × × √ √
卸载方式 控制面板 √ √ √ √ √ √ √ √ √ √ √
程序菜单 √ × × × √ √ × √ √ × ×
安装程序 × × √ √ × √ √ √ × √ √
用户界面情境记忆 √ √ × × √ √ √ × × √ √
肌肉
事件数 增加应用规则 14 - 23 35 14 18 14 29 23 12 17
删除应用规则 12 - 18 12 9 21 6 18 6 12 15
改变保护级别 6 - 12 6 9 15 3 3 3 3 6
启动在线更新 3 - 3 6 6 3 3 3 3 3 3
总数 35 - 56 59 38 57 26 53 35 30 41
无指示任务完成百分比 85% 75% 95% 90% 85% 95% 95% 85% 80% 85% 90%
屏幕实用比例 90% 90% 85% 95% 90% 90% 90% 90% 90% 95% 95%
得分情况
性能20分 17 18 16 18 18 16 14 18 18 16 17
防御能力30分 28 18 23 25 29 18 12 17 27 20 30
功能20分 19 13 18 17 14 15 14 15 14 16 20
可管理性15分 14 10 12 13 11 11 11 12 12 13 15
易用性15分 14 11 13 12 11 14 13 13 10 13 14
总分100分 92 70 82 85 83 74 64 75 81 78 96
测试说明
Zone Alarm Pro 专业用户推荐
性能得分:
Zone Alarm Pro在参测产品当中可以算作一个大块头,资源占用较多,但是考虑到其集成的大量功能组件,这样的表现还是相当不错的。事实上Zone Alarm Pro在运行的时候还是比较快速的,虽然在执行很多大量耗费运算能力的操作时会造成其它程序的粘滞,但是稳定性很强,从来没有造成程序崩溃。在传输响应时间和吞吐能力两项测试中的成绩属于中等,值得一提的是由于Zone Alarm Pro组件所使用的UDP端口与Qcheck所使用的端口存在冲突所以无法获得准确的测试数据,从我们在防火墙组件没有完全启动时进行的测试来看,UDP协议下的传输能力也相当不错。而HTTP传输测试的验证了实际应用环境下Zone Alarm Pro不错的传输表现,44秒的测试成绩比大多数产品都有优秀。
防御能力:
如果说从性能测试的结果还无法完全看出Zone Alarm Pro的强悍,那么在防御能力一项Zone Alarm Pro的完美表现绝对可以说明一切。各种测试都无法从部署了Zone Alarm Pro的计算机获取任何信息,只是在外向连接测试中无法阻止firehole和tooleaky的穿透,而这是所有防火墙产品共通的一个问题。另外,与大多数其它产品对RPC漏洞远程利用工具返回部署了防火墙的命令行提示不同,该工具也无法从目标计算机得到任何反馈。
功能:
丰富强大的功能是Zone Alarm Pro的另一大亮点,与Zone Alarm Pro相比大部分产品似乎只能被成为防火墙组件而不能被称为防火墙系统。无论是防护功能还是防护广度Zone Alarm Pro都更胜一筹,该产品可以过滤网址、可以阻止弹出广告窗口、可以将未受保护的无线网络自动纳入保护范畴。更加重要的是,Zone Alarm Pro的基于程序的防护规则不仅仅针对应用级别,还能够在系统组件层次制订访问规则,这意味着相对于针对应用程序的粗粒度防护所具有的种种问题可以得到很大改善。除了基于IP协议和应用程序的安全过滤之外,Zone Alarm Pro还提供了大量的防护特性以将用户计算机的安全推向更高层次。最显著的例子就是Zone Alarm Pro是少有的以防火墙功能为核心却辅之以恶意软件检测功能的安全套件,该系统内置的病毒监控和反间谍软件功能都具有很高的实效。另外,被称为myVAULT的隐私保护功能可以防止个人信息被非法用户获得,用户可以为帐号密码信息、信用卡号、银行帐号等多种敏感信息生成规则。Zone Alarm Pro在功能上的一个缺点是其并不将更新文件下载到本地计算机,而是需要打开相关的页面由用户手动下载。
[ZA系统元件控制.png][ZA应用程序控制.png][ZA的myVAULT隐私保护功能.png][ZA的NAT等高级功能.png]
可管理性:
Zone Alarm Pro的规则定义非常细致全面,所有规则都分别针对进入和外出两种活动定义,即使对相同的应用程序而言,这使得Zone Alarm Pro的防护非常细致全面,所有的的规则集非常灵活和智能,事实上这让我们联想到了CheckPoint。在安装的时候Zone Alarm Pro会发现计算机所连入的全部网络并由用户选择这些网络应该应用什么级别的防护,而且Zone Alarm Pro还能够手动添加网络区域,授予用户最大限度的自定义能力。
[ZA增加IP过滤规则.png]
易用性:
在整体设计上Zone Alarm Pro的规划相当清晰,不同的功能组件明确的放置在相应的选项页中,大部分常用的状态信息在主界面提供给用户使用。由于选项相对繁多,在使用负担上要略重一些,这主要是由于在多个选项页和设置层次之间进行跳转所至。不过Zone Alarm Pro的规则生成系统相当智能,,用户无需为每个程序选择处理方式,系统会自动的为大多数应用程序赋予正确的访问权限,例如自动授予QQ自由访问Internet的权限。系统的提示信息相当丰富而且可用性强,与用户操作关联性不大的信息往往被隐藏了起来。一个美中不足之处是Zone Alarm Pro还不支持简体中文,这阻碍了消费者群体对该产品的认知。
[ZA自动生成的应用程序规则集.png]
总评:
Zone Alarm Pro作为全球最受欢迎的个人防火墙套件,各个方面的表现都相当优异,丰富的功能和可调控能力更是无出其右。在运行效能上Zone Alarm Pro并不是特别出众,这主要与其较多应用了内容检测技术有关。总的来看这是一套可靠性很强的个人安全防护产品,适合那些需要高级别安全防范的用户。一个不算不足的不足是Zone Alarm Pro的选项实在太过丰富,用户必须经过一定时间的钻研才能充分发挥Zone Alarm Pro的威力。
BlackICE PC Protection
性能:
BlackICE是所有产品中耗用内存最少的,运行起来对系统的影响也非常微小,是“麻雀虽小、五脏俱全“的典范。在TCP协议状态下的传输测试BlackICE表现的异常稳定,多次手动测试的成绩完全一样,而在UDP协议下的测试则有比较明显的波动,为了更好的发现峰值我们的测试次数大多超过了5次。
防御能力:
在端口静默方面BlackICE的处理几近完美,只有113端口处于关闭状态,其它所有端口都处于隐秘状态。而在外向连接一项上,BlackICE的表现让我们略感失望。BlackICE的应用程序识别技术只发现了firehole而对另两种测试工具毫无反应,大部分参测产品都能够阻挡的leaktest也能够毫无阻隔的穿透防火墙,而leaktest并没有利用IE浏览器的组件进行穿透,这说明BlackICE在管理外向连接上并不是非常可靠。虽然BlackICE发现了端口扫描活动,但是仍旧被X-Scan发现了很多安全漏洞并获取了大量信息,而且是这是处于最高防护级别下的测试结果。
[BI依靠程序指纹检测到firehole.PNG]
功能:
在安装了BlackICE之后会有一个十几分钟的建立系统基线的操作,这个操作会为系统中的所有程序和库文件建立指纹数据库。通过该数据库BlackICE可以监控这些文件的状态变化并决定其访问权限,用户也可以手动的选择是否允许这些文件进行活动。与其它参测产品相比,BlackICE的附加功能较少,对于恶意软件等安全问题并没有集成解决方案。
[BI建立应用程序规则.PNG][BI应用程序识别.PNG]
可管理性:
大部分配置选项集中在一个统一的对话框中,用户可以在这里完成BlackICE的大部分设置。由于BlackICE的大部分网络通信规则都由系统根据网络活动自动产生,其网络过滤规则的编辑能力很弱。针对一个网络访问,BlackICE可以让用户决定对之采取阻塞还是信任的态度,而且用户能够对这种处理方式赋予时间参数,例如在进行某项工作时暂时性的信任某个远程会话一个小时。
[BI管理界面.PNG]
易用性:
与其它产品相比BlackICE的界面设计比较简易,在面板上提供了较好的事件信息和历史回顾,而更多的功能和配置选项被放置在了程序菜单当中。事实上这种规划方式容易对用户造成困扰,加之界面以文本为主,用户较难通过直觉上手。BlackICE提供的信息还算详实,而且可以按照不同的事件级别和时间范围来过滤各种信息的显示,对于有统计需求的用户来说是一个不错的特性。另外,由于肌肉事件测试中的某些操作BlackICE无法支持,所以操作负担测试并没有进行,从使用过程中的感受来看使用BlackICE的物理负担属于中等。
总评:
用户在使用BlackICE的过程中通常不需要过多的参与,系统引擎会自动为用户做出大部分决策。系统界面的设定是BlackICE的弱项,这阻碍了BlackICE的用户化进程。这款产品适合具有一定专业技术知识的用户使用,同时也适合用于对性能敏感的应用环境。
Norton Personal Firewall
性能:
诺顿的性能表现可谓喜忧参半,在传输响应时间和吞吐能力测试中所获得的成绩表明了诺顿的高效,HTTP传输测试的成绩也相当不错,但是运行时的缓慢使得诺顿成为低配置计算机的杀手。作为套件产品的一个组成部分诺顿个人防火墙带有过多的共用组件,这成为消耗巨大系统资源的主要原因。计算机的速度很容易被诺顿拖慢,而启动速度也较未安装防火墙软件时有明显的延长。
防御能力:
防御能力测试方面诺顿的表现尚可,安装了诺顿的计算机可以保证处于端口静默状态,而外向连接方面也可以获得一定的保障。从X-Scan的扫描结果可以看出,攻击者仍旧有办法发现计算机上运行着服务的TCP端口,而且包括计算机名和工作组名等信息可以通过NetBIOS协议获得。一个好消息是建立空会话、枚举用户名密码等攻击无法对安装了诺顿的计算机发生作用,只有一些服务和组件的漏洞会被攻击者发现。在足够高的防护级别下,通过网络访问共享、可移动设备的使用等都受到了很好的限制,这意味着诺顿除了能够抵御互联网威胁之外,对局域网和本地的安全威胁也具有较强的处理能力。
功能:
诺顿防火墙所集成的功能相当丰富,除了作为基础的防火墙功能,入侵检测、隐私保护等功能也颇为强大。诺顿在浏览器中集成了增加了Web辅助功能插件,该插件可以动态的根据所浏览网站的情况进行弹出广告窗口、Applet、ActiveX等内容的阻塞,而用户可以针对单个网站决定是否阻塞这些内容同时可以以关键字的形式维护广告信息过滤清单。另外,该插件还可以帮助用户禁止浏览器信息、访问历史信息等泄漏给外部网络。诺顿防火墙所集成的入侵检测组件带有大量的攻击指纹,而且能够设定在多长时间内阻止发起攻击的计算机,其功能性已经趋进了专业的入侵检测系统。
[Norton整合在IE中的Web助手.png][Norton针对单个网站进行阻塞设置.png][Norton丰富的入侵检测指纹.png]
可管理性:
诺顿的定制能力不单体现在对防火墙规则的设定上,辅助功能组件的管理功能也相当强大。以入侵检测指纹为例,用户可以决定哪些攻击需要被检测而哪些需要被忽略,同时可以选择发现攻击时的告警方式。另外,不只防火墙具有防护等级,包括隐私保护等辅助功能在内也可以独立设置级别,用户可以快速简便的设定计算机的防护强度。
[Norton可以自定义的隐私保护级别.png]
易用性:
在整体设计上诺顿相当规整,大量的功能很好的排布在寥寥几个选项页中,相应的许多操作需要深入多个界面才能完成,这也是诺顿操作负担较高的主要原因。诺顿为用户提供了多种应用情境模式的选择,对这些模式诺顿分别赋予了不同的规则权限,初级用户可以安全高效的利用模式的切换来调整对计算机的保护。而相对专业的基于地址和协议的过滤条件设定被隐藏在了高级设置部分,专业用户在需要的情况下可以通过该界面定义更加复杂的防护策略。
[Norton高级规则定义界面.png]
总评:
作为Norton Internet Security 2006中的一个组件,诺顿个人防火墙的整体设计非常优秀,处处显出大家风范,该系统包含的很多功能只有在企业级安全软件中才能见到。在保护能力上诺顿足以满足个人计算机用户的需要,特别是能够与反病毒等组件结合的时候可以获得极为全面的安全防御。一个比较明显的问题在于只需要基本防火墙功能的用户是否愿意牺牲如此多的系统资源,运行效能问题使得诺顿更适合应用在具有足够性能的计算机上。
McAfee Desktop Firewall
性能:
McAfee的传输性能极为优秀,在最初开始测试的时候McAfee会提示检测到数据流量,需要允许其通过才能执行测试。TCP传输非常稳定,测试结果与未安装防火墙时的峰值数据完全一样,而UDP测试的成绩也接近峰值水准。在HTTP传输测试一项,McAfee的速度不是很理想,其成绩落后于大多数产品。相比之下,McAfee的运行效能则表现尚可,尽管占用了较多的系统内存,但是开机速度和运行速度都没有受到影响。
防御能力:
从该项测试的结果可以看出,McAfee的防御能力非常高。端口静默一项McAfee只是在缺省配置下有一个端口未被置为隐秘模式,而在该模式下虽然X-Scan发现了3个TCP端口,但是并没有泄漏太多有用的信息。而将防御等级调至最高以后,这些问题都得到了完美的解决。另外,与大多数产品一样,McAfee也无法阻止firehole和tooleaky向外传送数据。
功能:
McAfee对非法入侵的检测和处理有很多独到之处,例如当入侵发生的时候McAfee可以嗅探相关数据并予以保存、将产生的攻击告警发送到用户指定的电子邮箱。如果用户将防护级别设置成学习模式,McAfee会将学习到的规则加入到刚刚使用的安全等级当中,从而形成自定义的安全等级。另外McAfee对应用程序的管理也相当细致,在授予各种应用程序权限的基础上,还能够管理应用程序是否可以调用其它的程序组件。
[MA基本选项.png][MA应用规则设定.png]
可管理性:
McAfee规则集定义能力是其最突出的特点之一,不但内置了大量的协议和服务支持(单就内置的协议数量来说恐怕没有产品能够与McAfee相提并论),而且在定义网络过滤规则的同时还可以选择相关的应用程序以进行更细致的限定。一个贴心的特性是McAfee可以克隆已有的规则并经过修改生成新的规则,这使得快速生成大量规则成为可能。更加令我们惊奇的是,McAfee能够对规则如何生效、什么时间生效等条件做出详尽的定义,这完全体现出McAfee在定制能力上的卓越。
[MA内置的协议支持非常丰富.png][MA规则的生效设定.png]
易用性:
McAfee的功能设计相当简洁规整,防火墙规则、应用程序规则、入侵检测规则和事件日志等四个主要的功能面板构成了McAfee的主界面,而大部分面向高级用户的选项都被划分到了程序菜单当中。这样的设计使得初级用户也可以很快的了解McAfee的使用,而同时不妨碍专业用户利用McAfee在定制能力方面的优势。
总评:
McAfee的功能并不非常出众,但是在性能和细节设定上的精彩表现使其专业特质表现得淋漓尽致。尽管McAfee具有很高的易上手度,但我们仍然认为这是应该出现在技术专家工具包中的利器。
lookNstop
性能:
lookNstop的安装包不足1M,是所有参测产品中最小巧的一个。而其对内存资源的占用也仅高于BlackICE,运行起来极为快速。根据传输性能测试结果分析,lookNstop的传输性能非常趋进峰值。但是随着测试数据包的不断增大,其传输性能有一定的下降而且非常不稳定。必须说明的是,我们必须关闭lookNstop对TCP和UDP数据包的阻塞才能正常执行测试。
防御能力:
小块头未必没有大智慧,lookNstop的防御能力测试表现非常不错。除了没有阻挡住tooleaky向外发起的连接之外其它的测试全部通过,而事实上与其它两种外向连接测试工具一样,lookNstop发现了tooleaky对IE组件的调用,只是未能阻止连接的进行。
[look能够识别对IE组件的调用.png]
功能:
与其它产品相比,lookNstop的功能特性无疑是非常薄弱的。除了基于网络过滤和应用程序检测的防火墙功能之外,lookNstop没有提供任何其它的附加功能。不过在lookNstop的网络过滤功能中内置了一些针对网络入侵的规则,用户也可以针对各种攻击定义相应的规则以扩展入侵检测功能。
可管理性:
专注于基本防火墙功能使lookNstop具备了较强的规则定义能力,内置的协议和服务支持相当丰富。而且lookNstop对网络数据包的识别相当细致,包括数据包的旗标都可以在规则中进行独立的定义。另外,在不需要执行应用程序检测的情况下用户可以将该功能关闭,而单独使用lookNstop的网络过滤功能执行保护。
[look规则定义.png][look旗标识别.png]
易用性:
lookNstop的界面设计虽然条块分明,但是功能选项的排布显得十分凌乱,对于初级用户来说会对配置使用lookNstop感到非常困扰。另外包括协议、DLL等功能与主要功能没有紧密结合,从使用便利性和用户操作习惯上都有一些弊端。
总评:
lookNstop的系统引擎非常优秀,可以卓有成效的达到高强度的保护,事实上lookNstop的很多防御特性和规则设置都超出了一般用户的需要。但是在用户界面和管理功能方面与优秀产品还有差距,使人的印象lookNstop并不象是一款商业产品。如果在用户交互方面有所改进的话,lookNstop无疑将成为具有很强竞争力的个人防火墙软件。
金山网镖2006
性能:
金山的执行效能非常不错,既使在最高防护级别下计算机运行仍然非常流畅。在传输测试一项上,金山的成绩体现出了极大的反差,TCP传输性能很低而UDP传输性能与没有安装防火墙的状态完全一样,不过在TCP协议的测试中金山的成绩没有出现任何波动。
防御能力:
在防御测试方面,金山的表现不尽如人意,只有阻挡RPC远程漏洞利用一项顺利通过。既使在最高防护模式下,金山也不能将全部的网络端口置于隐秘模式,而在默认的中级防护大部分端口都处于关闭状态而不是隐秘状态。X-Scan扫描测试可以从部署了金山的计算机上发掘出机器名、工作组名、共享名和MAC地址等信息,而空会话的建立和用户帐号等信息的获取则被成功阻止。
功能:
金山只具有基本的防火墙功能,没有集成内容过滤方面的功能。在隐私保护方面提供了家长保护和反钓鱼功能,但是用户不具有定制能力。由于是金山毒霸2006套装的一部分,所以该套装中的漏洞扫描和木马程序防护等功能都随该防火墙组件提供,而文件粉碎和IE修复等功能也颇为实用。特别是金山的漏洞扫描功能,不但可以检测出微软操作系统和应用程序中所存在的安全问题,还能发现系统设置上的缺陷,而且该模块可以管理安全漏洞补丁的下载和存放,提供更加一体化的安全管理特性。
[金山修复系统漏洞.png][金山IE修复.png][金山家长保护和反钓鱼.png]
可管理性:
在定义网络过滤规则的时候金山可以针对TCP标志等进行高阶的定义,可选项也比较齐全。而应用检测规则的定义则显得略为粗糙,只能针对应用程序文件决定执行权限,无法针对系统组件进行操作权限管理。一个独有的特性是金山可以将天网防火墙的IP规则导入使用,这体现出金山博采众长、以用户为先的产品开发精神。
[金山IP规则导入.png]
易用性:
金山的用户界面历来是初级用户的天堂,系统而合理的设计使用户可以完全凭直觉进行使用。对于日常功能、配置选项、高级选项的分隔非常和谐,不同技术水平的用户都可以轻松自然的使用所需的功能。
总评:
金山作为套装产品的一部分,适度的对功能范畴和细节进行了把握,在具有足够防御质量的基础上为用户提供了一个快捷易用的产品。相比于有更多功能需要和定制要求的专业用户来说,金山简约的风格更适合于那些希望忽略技术问题的普通消费者群体。
江民黑客防火墙
性能:
在实际的应用环境中,江民并不过多的消耗系统资源而且传输过程中系统没有明显的粘滞现象。但是综合江民的测试成绩来看其传输性能是所有产品中最差的一个,包括HTTP传输测试的速度也远落后于其它产品。在测试过程中我们发现,多次传输过程中传输速度呈递增趋势,所以我们记录的数据都是在多次测试后稳定下来的峰值结果。另一个与其它产品不同的现象是,江民的反向传输性能要大于正向传输性能。
防御能力:
江民的防御能力同样不甚理想,除了大部分端口都没有处于隐秘模式外,江民还无法检测出leaktest发起的外向连接。由于leaktest没有使用什么特殊的隐蔽机制,可以看出江民缺乏对外向连接的管理能力。另外江民对X-Scan扫描也没有起到防御效果,几乎所有的系统漏洞信息都可以被扫描程序获取。
功能:
江民一个独创性的功能是“游戏状态”,用户在为每个应用程序选择访问权限的时候可以选中“这是我信任的游戏,现在我只允许它运行,请关闭其它连接”选项,则该应用程序会被标记为游戏程序。当处于“游戏状态”模式下的时候,除了被标记为游戏的应用程序之外其它的程序都无法访问外部网络。
[江民游戏程序审核.png][江民在游戏状态下只允许游戏程序访问网络.png]
可管理性:
江民具有高中低三个安全级别,同时用户可以维护一个自定义级别以设定独具个性的保护模式。在江民的主界面中并没有关于网络过滤功能的设定,用户可以通过右键点击系统托盘上的江民防火墙图标发现IP规则设置的菜单条目,通过该功能界面用户可以管理网络过滤规则并执行导入导出操作。
易用性:
由于在所有功能选项页上江民都提供调整安全等级和进入设置界面的链接,所以江民的操作负担是所有产品中最小的一个,大部分常用功能都可以在主界面上完成,同时主界面上还可以监控到当前的网络流量状态和江民在线提供的信息资讯。
[江民主界面.png]
总评:
江民黑客具有简单易用的优点,但是防火墙的性能和功能都不突出,而防御能力也不是特别可靠。作为个人安全套件的一个组成部分能够发挥一定的防护作用,但是尚无法达到独立个人防火墙软件的标准。
瑞星个人防火墙
性能:
瑞星的性能表现非常不错,传输性能测试的结果与未安装防火墙软件时完全一样,并且测试结果非常稳定,而在HTTP传输一项瑞星的速度表现也相当抢眼。
防御能力:
瑞星能够保证所有端口处于隐秘状态,但是X-Scan却仍能够获得安装了瑞星的计算机的几乎所有信息。而且即使在最高级别的保护之下,RPC漏洞利用工具仍旧能够远程从该计算机上获得Shell。
[瑞星不能阻止远程Shell获取.png]
功能:
瑞星提供的辅助工具主要是漏洞扫描功能和安装包生成,特别是安装包生成,该功能可以让用户基于当前的程序状态及更新状态生成一个安装程序包从而方便之后安装部署。另一个独创的功能是“游戏保护”,用户将游戏程序的快捷方式及信息加入到游戏保护列表之后,瑞星可以保护该游戏程序相关的帐号等信息不被非法窃取。另外用户还可以手动维护一个可信任模块的列表,在该列表中的可执行文件和动态链接库允许对游戏程序进行调用和访问。
[瑞星安装包制作.png][瑞星添加游戏程序.png]
可管理性:
瑞星除了有三种不同的保护级别之外,还有几种模式可供用户选择,例如常规模式下对访问规则中不包含的情况询问用户如何处理、静默模式则是不作提示直接禁止访问网络等等。用户也可以在配置选项中选择在每种模式下出现访问规则不包含的情况应该如何处理。总的来看瑞星的选项配置功能是非常细致的,很多细节之处都考虑的很好。
易用性:
瑞星的用户界面非常友好,尽管有大量的功能但大部分功能的使用方法都一目了然。另外瑞星可以在用户界面上实时的进行界面语言和程序皮肤的切换,进一步提高了产品的附加价值。主要的功能都可以在主界面上进行使用,而设置IP过滤规则和程序过滤规则需要在设置菜单中进行。
总评:
瑞星具有大量创新性的功能,并且在可管理性上有很多独到之处,充分体现出以用户需求为设计起点的产品理念。美中不足的是瑞星在保护能力上还稍嫌不足,使用该产品的用户应该将规则定义的尽量严格,以防止受到网络攻击的侵害。
天网个人防火墙
性能:
天网的TCP协议传输性能相当不错,事实上该项测试的成绩与Zone Alarm Pro极为相似,而在UDP协议下的测试则基本达到了峰值。天网的HTTP传输速度也在所有产品中名列前茅,这样全面的表现无疑验证了天网的技术先进性。
防御能力:
在大部分测试项目中天网的表现都属正常,只是在端口静默一项天网有少数几个端口未设为隐秘模式。外向链接测试的结果与大多数产品一样,只能发现leaktest发起的外向连接。在RPC漏洞远程攻击一项,天网发现了DCOM攻击从而可以有效的阻止远程攻击的进行。
[天网能够发现远程RPC攻击.png]
功能:
天网除了基本功能外没有提供任何防火墙之外的附加功能,但是用户可以通过将安全级别调整至“扩展”从而获得额外的间谍软件和木马程序防护。尽管很多产品都提供了专门的选项页显示在线信息,但是唯有天网将在线信息提升到如此重要的地位。天网专门设置了一个称为“资讯通”的系统功能,默认在主界面下方显示,该功能组件显示精心提炼的信息安全新闻内容并在连入互联网的情况下实时更新,为用户提供第一手的安全资讯,这一设定体现出天网开发团队对信息安全服务化和安全信息即时化等用户需要的洞察。
[天网资讯通被作为重要的系统功能提供.png]
可管理性:
这一版本的天网防火墙产品在定制能力上表现尚可,防火墙规则的定义虽然较专业产品有一定差距,不过完全能够满足绝大部分用户的需要。在应用程序访问权限的定义方面,天网不但能够让用户是否允许访问网络,而且还能够限制该应用程序访问的端口和使用的协议,相比只能选择是否访问的定义方式,这种设计大大提高了灵活性。
[天网对应用程序访问的细致限定.png]
易用性:
与天网优秀的性能和防御能力相比,用户界面的设计明显是该产品的弱项。由于大部分图标没有文字提示而且与界面背景反差过小,初次使用天网的用户很难在短时间内了解主要功能的使用方法。另外一些界面元素或图标与实际功能相关性不大或点击之后没有任何用途,容易造成用户的困扰。
总评:
从技术角度来看,天网与很多国际一流品牌相比也毫不逊色,无论是从性能还是防御能力上都已经具有了相当高的水准。但是在用户交互设计等方面天网还存在着不足,这使得天网离真正成熟的商业化产品还有一定的差距,成功的商业软件产品需要从用户角度进行思考是颠覆不破的真理。
费尔个人防火墙专业版
性能:
与未安装防火墙的情况相比,费尔的测试成绩都是稍有下降,但是在UDP协议传输测试一项下降较大,与大部分产品都有明显差距。不过在HTTP传输一项,费尔领先群雄取得了最佳传输成绩。
防御能力:
虽然费尔顺利的通过了端口静默测试,但是X-Scan仍然发现137、139、445三个端口处于开放状态,并从中发掘了大量的信息和7个安全漏洞。由于在最高安全等级之下的测试结果也是如此,说明费尔的默认规则对相关扫描活动的防护能力存在一定问题。
功能:
虽然费尔的功能并不算丰富,但是一些独具特色的功能特性还是让我们眼前一亮。费尔可以自动将Windows XP自带的防火墙功能关闭以避免互相冲突,另外费尔还可以自动放行经过微软签名的应用程序。费尔提供了6种安全模式并且用户有能力进行自定义操作,这6种安全模式分别针对本地计算机、连入互联网的计算机、服务器系统等不同的应用情境设定,其中标注了安静的模式不询问用户如何操作,而是根据系统内置的规则引擎自动决定如何处理。
可管理性:
费尔的应用程序规则定义很好的结合了网络过滤规则的条件,并提供了丰富的应用协议供用户选择,可以生成非常细致准确的安全规则。在规则建立方面,费尔的主要问题在于处于普通模式下的时候规则建立提示太过于频繁,尽管设置成安静模式用户无需进行处理方式的选择,但是提示信息仍旧会一闪即释的弹出,对用户是一种干扰。
易用性:
费尔的操作负担在所有产品当中是最小的一个,这说明用户接口元素的排布相当合理。由于在监控室和控管中心中都可以进行规则调整而且这两个选项页的功能偏多,对普通用户来说上手要困难一些。费尔的很多界面元素令人耳目一新,并拥有最出色的网络状态监控面板,,美中不足之处在于界面元素较小而且排布得过于紧凑,无形中加重了用户的使用负担。
总评:
费尔各方面的表现比较均衡,使用起来快速稳定,代表了国内防火墙软件的较高水准。总体来看费尔的基本功能使用相当容易,但是各种进阶功能和细节的调整就显得比较麻烦。
Outpost Firewall Pro 个人用户推荐
性能:
除了在HTTP传输测试一项的成绩不尽如人意之外,Outpost的性能表现无可挑剔。特别是在传输性能测试方面,Outpost成绩优异而且表现稳定。而系统资源占用上虽然只能位居中流,但是Outpost在实际使用过程中极为顺畅,从来不会对用户的工作造成干扰。
防御能力:29
在该部分的测试当中,Outpost是当之无愧的王者,全部测试结果都处于领先地位。特别值得一提的是,在阻止外向数据连接方面,Outpost是唯一能够通过全部测试的产品。Outpost不但能够发现leaktest发起的相对普通的外向连接,而且能够发现firehole和tooleaky对IE浏览器组件调用从而阻止外向连接的建立,从这个结果可以看出Outpost针对系统组件的管理要比其它产品有效的多。
[Outpost能够发现tooleaky.png][Outpost按系统元件进行防护.png]
功能:
Outpost在内容过滤方面的表现极为抢眼,在功能性和粒度上比Zone Alarm Pro有过之而无不及。Outpost不但能够阻止弹出窗口和按照内容阻止广告程序,用户还可以按照图片的幅面阻止图片的显示。这是一个颇具创造性的功能,用户可以增加一个针对大幅面图片的限制规则从而防止对非法图片的浏览。另外值得一提的还有Outpost的间谍软件保护功能,除了能够实时的进行间谍软件监测之外,Outpost让用户可以高度定制化的执行间谍软件扫描。更新后的Outpost可以扫描多达31872种间谍软件,只是与Zone Alarm Pro相比Outpost所检测的恶意软件种类略逊一筹。Outpost还提供了完善的日志系统和详尽的统计信息供用户使用。Outpost的日志分类可以重新命名,而且提供了包括最常见的攻击等很多TOP排名信息,用户还可以将自己经常检索的信息放入收藏夹选项页方便查阅。
[Outpost的图片阻塞功能.png][Outpost恶意软件指纹数据库.png][Outpost的日志系统非常强大.png]
可管理性:
Outpost倾向于使用内置的规则处理引擎管理各种网络访问,用户也可以针对当前的网络活动创建规则,但是在自定义规则和维护大量复杂规则方面Outpost只能算中规中矩。在为规则指定行为方面Outpost有很多独到之处,例如用户可以决定每条规则是否执行状态检测以及是否启用基于系统组件的检测。
[Outpost为规则指定详细的行为.png]
易用性:
除了基本的防火墙功能之外,Outpost的其它所有功能都以程序插件的形式进行管理,用户可以将兼容的插件导入到Outpost当中以扩展系统的功能,也可以定制组合出在功能上最适合自己的安全系统。Outpost的整个界面布局非常合理,设计也相当优美,唯一的一点不足在于各个功能模块的界面上没有放置进入设置界面的链接,不是非常符合用户的直觉,不过用户仍旧可以通过工具栏上的按钮较快的进入设置界面。
总评:
Outpost已经远远超出了个人防火墙软件的标准,无论是在功能的全面性还是在细节上都堪称完美。与Zone Alarm Pro和McAfee等产品专业级别的规则定义能力相比Outpost还有所欠缺,但是对于桌面级用户来说,Outpost突出的防御能力和易用性都具有无法抵挡的吸引力,特别是在包含了如此多的功能之后,Outpost还能取得这样突出的性能表现。
推荐
综合各个方面的测试成绩及我们在评测过程中的使用感受,我们将Zone Alarm Pro和Outpost两款产品推荐给大家。这两款产品不但在全部测试中表现优良,而且在细节上也领先于其它产品。Outpost在功能上非常全面,可以为用户提供全方位的安全防护,特别是在内容过滤方面的一系列具有创新意义的功能特性,更是将个人防火墙产品的发展潜力展露无遗。而结合Outpost出众的易用性和相对智能的防火墙规则生成能力,我们认为Outpost是个人计算机用户的最佳选择。Zone Alarm Pro的表现同样出众,可谓与Outpost各擅胜场,虽然在周边功能和细节处理上稍逊于Outpost,但是Zone Alarm Pro的规则管理能力在所有产品中领先。“专业”是Zone Alarm Pro带给我们的最大感受,这一点不仅仅体现在规则定义方面,Zone Alarm Pro的所有功能和选项设定都体现出其蕴含的行业认知和历史积淀。我们认为Zone Alarm Pro是具有一定技术功底的高级用户的首选,该产品能够帮助用户构建具有极高强度和伸缩性的计算机防线。
总结
在整个评测过程中,我们时时刻刻都能够体验到防火墙世界的纷繁绚丽,其牵涉的范围和功能包容性与防病毒产品相比有过之而无不及。从评测的结果来看,国外厂商的产品的表现更加全面,国内厂商的产品虽然在很多单项测试具有突出的表现,但是在整体性上仍然有待成长。然而这并不意味着国外产品就一定好于国内产品,国内产品的很多特性更加满足国内用户的需要,例如中文的用户界面、针对国内流行威胁而为用户定义的规则等等。另外国内的大部分产品或者免费产品或者是随个人安全套件提供给用户的,所以其功能设定也与独立的防火墙套件有所不同,在评估产品时应该正视这种现状。本着用户需求至上的原则,在看到国内外产品之间差距的同时,我们更要认识到每个产品都有其优势和劣势。“唯有切合自己需要的产品才是最优秀的产品”,这句话我们作为选择个人防火墙产品的一条箴言送给敬爱的读者,同时也以其作为本次评测的一个总结。