如今,在很多涉及电脑安全问题的讨论中,我们常会提起这样一个词,这就是“防火墙”。和防病毒软件主要负责电脑内部的问题不同,防火墙的任务,更多的是处理来自网络外面的威胁。一般来说,市面上的防火墙,按照形式来分,大致可分为两种。即以专用芯片为载体的硬件防火墙和以个人电脑为载体的软件防火墙。虽然,从运行稳定性和网络效率来讲,硬件防火墙无疑有着巨大的优势,但其昂贵的价格,也足以让很多普通用户咂舌。而相比之下,软件防火墙虽然在性能方面稍显逊色,但凭借其低廉的价格和还算不错的防护能力,还是吸引到了不少用户的目光。那么,在面对市场上五花八门的防火墙软件时,您是否知道如何选择?今天,我们就集合了市面上比较流行的12款防火墙软件,从性能、防御能力、功能人性化程度等多个方面,为您进行一番真实的对比。看一看谁才是真正适合我们的防火墙软件。
一、 评测环境 在此次评测中,我们共安排了两台计算机。其中,安装防火墙软件并接受测试的,是一台酷睿2双核笔记本电脑。而辅助测试的,则是一台AMD Athlon 2200+台式PC。为保证最好的测试效果,两台电脑将使用一台D-Link交换机进行互联,其执行交换速率为100 Mbps。此外,为满足评测中的一些联网需要,我们还特意准备了一组2Mbps带宽的网通ADSL。 在软件配置方面,考虑到目前的实际情况,操作系统仍然选用了目前市场占有率最大的Windows XP Professional(补丁版本SP3)。同时,考虑到各防火墙软件之间,可能会产生一些互排斥问题。评测前,将首先对当前系统进行一次Ghost备份。每测试完一款软件,恢复一遍系统。同时,评测中系统自带的防火墙将处于关闭状态,除必要的评测软件之外,未安装其他任何工具。 图1 笔记本电脑配置情况 图2 台式PC配置情况
二、 软件界面表现
易用性是很多朋友,考察一款防火墙好坏的第一要素。而界面设计,又是与易用性关系最为密切的一项指标。于是,界面设计是否合理、用户操作是否便捷、显示的内容是否完善等等,便成为了我们判断一款防火墙优劣的首要标准。那么,在今天所参评的12款防火墙软件中,谁的界面设计更为出色呢?下面,还是让我们看一看它们的真实表现吧。 1.1 Agnitum Outpost Firewall Outpost的界面比较传统,采用了最为常见的左右式布局。点击左侧按钮,就能从右侧看到各种详细的功能选项。同时,为了兼顾不同水平的用户,Outpost还特意设计了“简易视图”和“专家视图”两种界面显示方式,能够很好地在易用性和功能性方面,达到一个平衡。在它的“防火墙”标签下,是一项攻击屏蔽记录和规则设置向导。同时,我们也可以通过这个标签,了解到各种详细的数据统计资料。 点击高速下载:Agnitum Outpost Firewall 图3 Outpost界面截图 1.2 ZoneAarm Firewall 和Outpost一样,ZoneAlarm同样采用了传统的左右式布局。不过,由于没有设计“简易界面”。因此,ZoneAlarm的选项看上去更为“丰富”。此外,滑动式选杆也是ZoneAlarm的一大特色。相比以前的菜单选项,ZoneAlarm的用户,能够直接将滑杆拖动到指定位置,来快速完成选择,大大提高了日常环境中的操作效率。此外,在规则设置上,ZoneAlarm也提供了“简洁”(滑杆方式)和“专家”(对话框)两种方式,同时照顾到了不同用户的操作需要。 点击高速下载:ZoneAarm Firewall 图4 ZoneAlarm界面截图 1.3 Norman Personal Firewall Norman也是采用了最为常见的左右式布局。但凭借其良好的界面配色和功能分布,使得整套软件条理感极强。在它的防火墙标签下,我们不但能够看到各种实时的统计信息。而且,还能快速完成“网络锁定”、“临时规则清除”、“专家日志”、“防火墙规则设定”等一些最常用的操作。此外,在Norman中,配置向导也是软件的一大特色。即使您是第一次使用Norman软件,也一定能够很快上手。 点击高速下载:Norman Personal Firewall 图5 Norman界面截图 1.4 Jetico Personal Firewall 乍一看,Jetico很像是操作系统自带的任务管理器。在它的主界面上,我们能够非常直观地了解到,当前已允许和已阻止的通讯流量。而其他各项功能,则是以功能标签的形式,列示在窗口顶端,切换起来十分方便。此外,在Jetico中,“预设策略”则是它的最大亮点。在日常使用中,我们既可以针对策略重新编辑,也能直接建立自己所需的规则。同时,设在主界面顶端的“策略”选框,则能让用户非常方便地,在不同的策略间来回切换。 点击高速下载:Jetico Personal Firewall 图6 Jetico界面截图 1.5 F-Secure 相比之下,F-Secure的界面平淡无奇,但使用起来还是颇为顺手的。在这款软件中,防火墙只是作为“Internet防护”组中的一个部分,拥有“IP片断阻止”、“防御规则制订”、“服务进出限制”等一些最基本的防御功能。而“入侵防护”、“控制控制”、“应用程序控制”等其他组件,则与之并列,同时出现在更高一级的“Internet防护”标签下。虽然,这样的设计,可能会让某些用户感觉不适,但熟悉之后,还是比较好用的。 点击高速下载:F-Secure 图7 F-Secure界面截图 1.6 Comodo Firewall 在界面上,Comodo采用了平时不太常见的上下式布局。所有功能均通过顶端四组按钮,进行切换。而在每个项目下,软件还特意为不同的使用人群,设计了“常用任务”、“高级任务”两大标签,人性化考虑比较完善。但相对于很多新手用户来说,Comodo的设计,条理性不强,可能不太容易快速上手。 点击高速下载:Comodo Firewall 图8 Comodo界面截图 1.7 瑞星个人防火墙 单从UI来看,瑞星防火墙的确能够让我们眼前一亮。漂亮的配色加上合理的布局,让软件特别便于快速上手。在它的“工作状态”标签下,所有活动的程序,都会以小图标的形式,列示在图表上方。只要某一进程出现流量,便会在图标上快速闪动。这样,我们就能根据具体情况,采取相应措施了。而在其他功能上,瑞星防火墙也毫不逊色。包括“IP包过滤”、“恶意网址拦截”、“应用程序监控”、“出站攻击防御”等一系列常用的功能,都能在相关模块中找到,十分方便。 点击高速下载:瑞星个人防火墙 图9 瑞星防火墙 界面截图 1.8 江民防火墙 江民防火墙的界面,设计得比较出色。与其他软件过分追求大而全不同,江民防火墙的主界面,只有那么窄窄的一条。而在这个面板中,用户可以非常方便地执行“安全级别调整”、“软件智能升级”、“防火墙暂停”、“网络强制中断”和“防火墙设置”这五项最常用功能。而更多的设置,则隐藏在界面底端的四个伸缩标签中。点击后,才会自动弹出。这样,无论是注重操作的普通用户,还是侧重功能的高级用户,都能在软件中找到适合自己的模式,大大提高了日常工作的操作效率。 点击高速下载:江民防火墙 图10 江民防火墙界面截图 1.9 天网防火墙 和江民防火墙一样,天网防火墙同样采用了方便的可伸缩式面板。平时,各项常用功能,均以按钮的形式,出现在主面板上。当我们点击其中某一按钮时,相应面板便会自动弹出。而设计在主面板上的流量监视器,也很实用。当网络中出现一些异常流量时,监视器能够直观地将其显示出来。以帮助用户,在第一时间处理可能出现的威胁。 点击高速下载:天网防火墙 图11 天网防火墙界面截图 1.10 卡巴斯基全功能安全软件 在卡巴斯基中,防火墙是作为整套卡巴斯基全功能安全软件的一个模块而存在的。由于配置了强大的木马查杀及主动防御机制。因此,卡巴斯基防火墙,相比来说功能比较简单。在这款软件中,无论是应用程序过滤、网络数据包过滤还是网络协议过滤,都能在这个面板中轻松找到。而双击即可修改、拖拽即可移动这样的操作,也让使用者倍感轻松。 点击高速下载:卡巴斯基全功能安全软件 图12 卡巴斯基防火墙界面截图 1.11 风云防火墙 在界面设计上,风云防火墙同样采用了一种大家都很熟悉的横纵布局方案。通过顶端工具栏,用户可以很方便地完成“防火墙暂停”、“网络中断”、“防马暂停”等一些最常用操作。而左侧的“功能导航”区,则将软件的所有功能,完整地列示出来。虽然,风云的界面稍显混乱,但在实际操作时,还是比较方便的。 点击高速下载:风云防火墙 图13 风云防火墙界面截图 1.12 诺顿Norton Internet Security 和卡巴斯基一样,诺顿防火墙也是附属于Norton Internet Security的一个安全组件。在界面布局上,沿袭了Norton 2009全新的UI风格,不但外观更加炫目。而且,各项功能按钮,也都采用了新颖的“拨动”式开关设计。在它的“Internet”标签下,除了最基本的出入站检查。软件还特别提供了“网络拓扑图”、“入侵防护体系”、“邮件消息扫描”等很多额外工具,为日常防护提供了更多帮助。 点击高速下载:Norton Internet Security 图14 诺顿防火墙界面截图 三、 规则设置对比 为了应对不同的网络环境,我们常常会在防火墙默认的安全规则上,自行修改或补充。而规则的制订是否方便、覆盖范围是否全面、人性化设计是否合理等等,便成为了用户们最为关心的几项问题。接下来,我们便围绕以上几个方面,对12款参评防火墙,进行一番规则设置的对比。 1.1 Outpost Outpost的规则编辑比较容易,所有选项都集中在同一个界面。而我们所要做的,只是根据实际需要,选择触发事件,然后确定好通讯方向和许可权限。最终,便能完成一个“允许”或“禁止”的通信规则制订。此外,Outpost还有一项独特的“防火墙策略”功能,允许用户通过滑杆,快速选择不同的防护级别。 图15 Outpost规则定义 1.2 ZoneAlarm ZoneAlarm同样为我们提供了专家和快速两种规则建立方案。相比Outpost,ZoneAlarm的专家规则更加详细。不但可以通过菜单,将“信任区”、“Internet区”和“本地电脑”等一些由ZoneAlarm自行设计的虚拟区域添加进来。而且,还特别提供了“Protocol(协议)”、“Time(时间区域)”等更多的设置选项,灵活度较强。 图16 ZoneAlarm规则定义 1.3 Norman 在Norman中,规则创建完全采用了向导模式。虽然,这样的设计,很受一些新手用户的欢迎。但同时,也暴露出规则灵活度差,不利于熟练用户快速操作等等弊端。此外,Norman也没有提供其他防火墙中比较常见的,安全级快速修改功能,不利于经常需要切换网络环境的用户使用。 图17 Norman规则定义 1.4 Jetico 相比之下,Jetico的规则对话框,比较实用。能够在同一个设置窗口,同时提供多组操作选项。此外,丰富的预设规则,也为软件的规则制订,提供了很大便利。稍加修改后,就能让它们适应全新的应用环境。除此之外,“进程攻击表”和“应用程序校验和”,也是这款软件中十分有特色的两项功能,大大提高了进程监控的灵活程度。 图18 Jetico规则定义 1.5 F-Secure F-Secure的规则制订,也是采用向导模式。但和Norman相比,它的向导更加灵活。同时,也能为高级用户提供更多的可操作空间。其中,“通讯方向”可支持方便的鼠标可视化点击,能够让用户直观快捷地完成参数设定。而在这款软件中,一项“拨号连接”复选项,也颇为引人注目。虽然,这个选项听上去有些老土。但在某些特殊的环境中,还是非常有用处的。 图19 F-Secure规则定义 1.6 Comodo Comodo的规则定义也很灵活,除了能够将硬盘上的某个程序,快速制成通讯规则。还能直接调用进程列表,选择运行中的某个进程,快速实现拦截。此外,在Comodo中,还有一些预设分类(如“临时文件”、“重要文件”、“系统程序”等),也是它的一大亮点。灵活地利用它们,也能方便地对某一类软件建立规则。 图20 Comodo规则定义 1.7 瑞星防火墙 在瑞星防火墙中,规则定义也是采用向导模式。相比来说,每个选项还是比较完善的。同时,瑞星防火墙还为不同的工作模式(如锁定模式、交易模式等),提供了不同的访问策略。而这,也正是这款软件与其他同类工具最为不同的地方。 图21 瑞星防火墙规则定义 1.8 江民防火墙 在规则设定上,江民防火墙同样使用了比较常见的综合选框形式。能够供用户自行定义“网络环境”、“收发IP”、“传输协议”、“端口情况”和“规则对象”等多种参数,较为适合中高级用户操作使用。此外,在江民防火墙中,还有一些专门针对于“冰河”、“Back Oriface 2000”等知名木马,所设立的专用规则,实用化程度很高。 图22 江民防火墙规则定义 1.9 天网防火墙 在天网防火墙中,我们能够方便地通过顶端工具栏,进入“程序”、“IP”的规则设置区。而在这些面板中,各项参数都提供得非常齐全。其中,某些细节选项,只对某些有效协议显示(比如ICMP标签中,绝不会出现端口选项),大大降低了新手用户的操作难度。 图23 天网防火墙规则定义 1.10 卡巴斯基 作为卡巴斯基安全套装的一部分,卡巴斯基防火墙,同样拥有一个功能全面的规则配置窗口。在它的设置面板中,我们能够直接调用或修改,预设好的规则模板。不过,和同类软件相比,卡巴斯基的防火墙统计有些另类,直观性也不太好。但是,我们却能利用它,方便地将某一进程的历史流量进行对比,以确定该进程是否存在问题,也算是一个很不错的设计了。 图24 卡巴斯基防火墙规则定义 1.11 风云防火墙 风云防火墙的规则面板比较简洁,用户可以通过复选框,方便地完成规则制订。虽然,在它的规则面板中,我们没有看到其他防火墙所惯用的“日志模式”。但却可以利用工具栏中的“免除提示”,实现静默运行。 图25 风云防火墙规则定义 1.12 Norton 在Norton防火墙中,规则制订面板也是采用向导形式。虽然,条理性相比更强,但它的弊端,同样是不适合专业用户快速进行设置。而在它的设置面板中,端口范围则是一项新颖的选项。借助它,我们能够方便地对一个端口区进行监控,特别适合于监督那些可能有危险的端口范围。此外,Norton防火墙同样具有完善的追踪与提醒功能,其入侵防御系统,能够自动断开攻击方与己方的网络通信(一段时间后解锁),以防产生更大的危害。 图26 诺顿防火墙规则定义 四、 防御能力对比 作为一款防火墙软件,能否有效地抵御各种来自外界的威胁,无疑是我们重点考察的一个项目。为了能让测试结果更加有效,我们参考了真实的网络攻防情况,组建了“端口静默扫描”、“反弹连接测试”、“X-Scan综合扫描”这三组评测环境,以便综合对各款防火墙软件的基本防御能力,进行一番对比。 1.1 端口静默扫描 一般来讲,几乎所有的网络攻击行为,都是针对于特定端口展开的。因此,尽量减少端口在外人眼中的“曝光率”,便是降低电脑受攻击频率的一个最好方法。而这,也就是我们平时所说的“端口静默”。一般而言,端口的状态有三种:开启(Open)、关闭(Close)和隐蔽(Stealth)。其中,“关闭”状态,是我们平时最容易忽略掉的。事实上,对于一名有经验的黑客来说,即使端口处于“关闭”状态,也是可以通过一些特殊的查询实施攻击。因此,要想实现真正意义上的静默,就必须将所有不使用的端口,全部设为“隐蔽”状态。 在检测工具的选择上,我们挑选了时下受欢迎度较高的Shields UP!! 网站。该网站的特点,是能够对0到1055的1056个端口进行扫描,同时以图形化形式,返回各端口的当前状态。不但使用起来非常简便,而且,它的检测精度,也是目前所有在线检测网站中,最全的一个了。 图27 Shileds UP!! 端口检测截图 图28 端口检测结果对比(点击图片看清晰大图) 由于端口检测,大多采用入站流量。因此,端口的扫描屏蔽操作,实际上也可以理解为防火墙防御功能的一个部分。而从测试结果来看,绝大多数防火墙软件,均能有效地完成主机端口的屏蔽。其中,一直不被大家所看好的Windows防火墙,竟然也有出色的表现。而相比之下,江民和卡巴斯基,则在此项设置中略逊一筹。开启防护后,依然还会暴露出大量“非隐蔽(non-stealth)”端口,从而为系统带来更多的安全隐患。 1.2 反弹连接测试 为了绕过防火墙严格的传入连接过滤,很多木马在感染计算机系统后,都会主动向服务器(木马服务器),发出反向连接请求(传出连接)。因此,一款好的防火墙软件,除了要拥有强大的传入连接过滤,还要能够防范这种由内向外发出的不安全连接。而这,就是我们平时所常说的“反弹式连接”。一般来讲,测试反弹连接,主要是通过两大工具。一是由GRC公司出品的leaktest。而另外一款,则是由Robin Keir出品的firehole。 从技术上讲,leaktest和firehole的工作模式略有不同。其中,leaktest只是简单地将数据发送到grc.com,作为最终验证条件。而firehole则更为严格,只有当发出的数据获得正确应答后,才算穿透成功。 图29 Leaktest界面截图(图示为防火墙已穿透!) 图30 Firehole界面截图(图示为防火墙已穿透) 图31 反弹连接测试对比(点击图片看清晰大图) 相比严格的正向防御,大多数防火墙在反向检测上并不强大。从上面的反弹测试可以看出,12款参评防火墙软件中,只有Norman和Jetico能够完全阻止“Leaktest”、“Firehole”的攻击。而其余各款防火墙,要么只能阻止某一测试,要么根本没有提供相应功能。而Windows防火墙中,众所周知的的单向防御缺陷,也在此次评测中表露无遗。 1.3 X-Scan综合扫描 X-Scan是目前使用频率最高的一款综合型扫描软件。能够详细地提供出,被扫描端的操作系统类型、操作系统版本、标准端口状态、端口Banner信息、CGI漏洞、IIS漏洞、RPC漏洞、NT服务器NETBIOS等等信息。因此,接下来,我们也将利用这款软件,对各款参评防火墙,进行一次完整的扫描。 图32 X-Scan扫描中截图 图33 X-Scan扫描结果对比(点击图片看清晰大图) 在X-Scan的扫描结果中,国外防火墙的防御能力明显高于国内防火墙软件。而且,普遍采用的方法,都是直接让被保护机“灭失”(即令扫描工具无法找到存活机)。这样的设计,不但效率较高。而且,还能很好地规避软件设计中可能出现的疏漏。从而在实际应用中,获得最好的效果。 五、 性能影响测试 由于防火墙的技术特点所限,当它运行时,多少都会对网络的性能,造成一定影响。为了能够准确地评估出,各款防火墙软件在不同使用环境下的性能影响情况。我们分别从网络层和应用层这两个层面,开展了如下测试。 1.1 网络层性能测试 在网络层测试中,我们采用的是一款由lxia公司出品的Qcheck软件。作为目前最优秀的性能测试软件,Qcheck 3.0能够非常准确地测量出不同大小的网络封包,在TCP和UDP两种协议下的响应时间和吞吐带宽。其出色的性能表现,更是堪比专业的硬件检测工具。为了能让大家对测试数据有所参考,评测前,我们将首先记录空白系统下的测试成绩。 注:响应时间测试中,我们将采用Qcheck的自动检测机制。每组封包检测10次,取10次的平均值计入成绩。而吞吐带宽测试,则采用手动传输机制。每组封包检测3次,取3次的平均值计入表格。 图34 Qcheck界面截图 图35 响应时间对比(单位:ms)(点击图片看清晰大图) 图36 吞吐带宽对比(单位:Mbps)(点击图片看清晰大图) 1.2 应用层性能测试 而在应用层测试中,我们则是模拟了一项最基本的Web应用 —— 文件下载。其中,台式PC将开启IIS服务,建立一个最简单的下载页面。然后,通过笔记本(安装防火墙软件)的IE浏览器,从台式机网页中,下载事先存放好的测试文件(文件大小:144 MB)。最终,用秒表手动计量文件下载所需时间,并以此计入统计表格。和网络层测试一样,评测前,我们也将事先保留空白系统下的测试成绩。 注:传输用时包括浏览器自动将下载文件,由临时区拷贝至目标区域所消耗的时间。 图37 模拟Web下载页面 图38 文件下载用时对比图(单位:秒)(点击图片看清晰大图) 六、 自我保护能力 随着防火墙过滤能力的提高,要想轻松“穿墙”,已经不是那么容易了。于是,某些木马作者,便想出了一个更为简单的方法 —— 直接中止防火墙软件。于是,防火墙的自我防护能力,也就成为了我们接下来将要考察的一个重点。为了验证各参评软件,是否能够有效地防范恶意中止。我们将分别利用Windows自带的任务管理器和IceSword(冰刃)两款工具,开展中断测试。最终,成绩计入统计表格。 图39 自我保护能力对比(点击图片看清晰大图) 从测试结果来看,各防火墙软件的自我保护能力并不乐观。除“Norman”和“卡巴斯基”以外,其余各款防火墙,均无法同时通过“任务管理器”和“IceSword”的中止测试。很难想像,在遭遇一些恶意木马时,我们的防火墙终究是否真的有能力,继续保障操作系统的安全。 七、 资源占用情况 作为一款电脑软件,资源占用永远都是我们需要关注的一个重点。毕竟,电脑总是拿来用的,如果宝贵的内存,总是被一些辅助工具所占用。那么,在进行一些正常操作时,难免就会出现捉襟见肘的现象。于是,接下来,我们将分别针对各防火墙,在静默运行(未开启主操作面板)和网络传输过程中的内存占用情况进行统计,数据取自IceSword。 图40 资源占用情况对比(单位:KB)(点击图片看清晰大图) 八、 综合评定 经过一番详细的对比之后,12款防火墙的基本情况,已经完完整整地展现到我们面前了。从评测中可以看出,无论是网络延迟效应,还是实时防御能力,国外软件都比国产防火墙,有着更为明显的优势。不过,在这其中,Jetico和风云防火墙给我们的印象并不太好。测试中,几乎每一步操作,就能换回来一大串“问话”(即询问是否“允许XXX出站”、“允许XXX入站”等等)。不但使用麻烦,而且,频繁的问题也很容易,让使用者出现顺势思维错误(即习惯性点击“允许”,导致错误的规则批复),进而出现安全隐患。此外,多进程也是Norman和F-Secure两款软件的最大“亮点”。15~16个系统进程,足以促使它们成为此次评测的资源消耗大王。 |