荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: Hippy (嬉皮士), 信区: Security
标 题: 3种防火墙的介绍
发信站: 荔园晨风BBS站 (Sun Oct 28 06:27:13 2001), 转信
在这个充斥着黑客和"拒绝服务"攻击的计算世界中,企业防火墙对网络系统管理员
们是必不可少的设施,但是这还远远不够。企业防火墙就像保卫中世纪的市镇的石
头城墙一样,保护着网络上的PC和服务器。但是,攻击也可能来自内部。并不是所
有企业内部的人都值得信任,而且,某些好奇的职员也会偶尔迈出城墙到城外漫步
,而那正是盗贼潜伏和出没的地方。这时,你就需要个人防火墙了。个人防火墙就
像每个村民家门上的门锁一样让其免受内部网络和外部网络的威胁。有时外部攻击
的确可能绕过公司的企业防火墙而进入企业内部。
最初,个人防火墙主要用来保护家庭上网用户家中那些始终与Internet保持连接的
线缆调制解调器或DSL线路。现在它们对任何经常通过办公室里的局域网连上
Internet的笔记本电脑来说也必不可少了。我们测试了3种Internet防火墙软件:
BlackIce Defender、Norton Internet Security 2000和ZoneAlarm 2.0。所有这
些软件都能向您提供适当的保护。你可以根据它们各自的特性和部分操作系统方面
的限制来决定你的选择。
如果你对自己的网络客户机或者笔记本电脑在安全性方面是多么脆弱一无所知的话
,可以使用一下加州吉布森调查公司(Gibson Research Corp.)的www.grc.com网
站上提供的"Shields Up"服务来探测一下你的系统可能的漏洞。你只需要用鼠标点
击其网页上的盾牌图标就能完成探测过程。现有的企业防火墙不能完全自动地保证
系统的安全。一台机器上有65535个用于通讯的端口,任何一个处于开启状态的端
口都有面临攻击的可能性。"Shields Up"服务能告诉你一台PC上是否存在任何没有
保护的端口,并且它们是否处于"隐秘"(stealth)状态下。我们试验的这3款
Internet个人防火墙都关闭了那些常用的端口,能够最大限度地防止未经授权的访
问。在企业防火墙或代理服务器后端,大部分的端口都保持关闭状态,但是它们仍
然是可见的。随机应变的黑客可以发现这些端口,并可能偷偷溜进来。因此,最好
的办法就是让端口处于"隐秘"状态,这样黑客就不太可能会察觉到它们的存在。但
是端口不是唯一值得关心的事情,具有唯一性的用户IP地址和网卡的物理地址(
MAC地址)都有可能暴露你的身份,引来黑客的攻击。我们测试的3个防火墙产品都
能够杜绝MAC地址和任何共享资源的泄漏,在大多数情况下,它们都能有效地阻止
来自外部的扫描探测。但是这还远远不够,在Internet上保持用户隐私和保证系统
安全一样重要。
Norton Internet Security 2000是3款个人防火墙中功能最齐全的产品,配置也非
常简单。这个软件包中还加入了Symantec公司的防病毒软件Norton Antivirus
2000,是3款软件中唯一具有防毒功能的防火墙产品。BlackIce Defender和
ZoneAlarm可以抵御"特洛伊木马"的攻击,Norton Antivirus 2000则在具备防毒功
能的同时提供频繁更新的病毒知识库。Norton Internet Security 2000可以同时
监控防火墙、Java小应用程序和ActiveX控件。除非用户允许,防火墙能拦阻网络
上的全部通信。用户能阻止或者允许任何Java或ActiveX代码的执行,或者根据需
要选择执行。Norton Internet Security 2000对隐私的保护功能也非常强大。用
户输入的特定字符串--数字、口令、电子邮件地址、名字等等在经过防火墙时,系
统都会给出提示。安装Norton Internet Security 2000需要至少60M的硬盘空间,
其价格比其它两个产品要贵些。但是它的端口隐蔽功能不是很完善
BlackIce Defender能够为用户提供强有力的安全保护,但是功能比较单一。它只
监控网络上的数据流,没有提供任何详尽的配置工具和隐私保护。BlackIce能够监
视并发现系统中的可疑事件,一旦有可疑的迹象发生,一个图标就会变红并不断闪
动来报警。BlackIce的屏幕能够告诉你系统的什么部分正在遭受攻击或者扫描探测
,并且能显示攻击的发源地。
仅仅需要大约2M硬盘空间的ZoneAlarm 2.0适合预算紧张的用户,因为它对于个人
和非盈利性使用是免费的。作为一个免费的应用软件来说,ZoneAlarm的功能已经
足够强大了。它把我的试验系统上的全部常用端口置于"隐秘"模式之下--在这一点
上优于其它2款防火墙。当系统中的应用程序试图连接Internet的时候,
ZoneAlarm会让用户决定是否允许这一类操作继续进行。但是,这些经常出现的信
息可能很烦人。当然,用户可以让ZoneAlarm总是允许网景的Navigator或是微软的
Outlook访问Internet,正确设置以后,ZoneAlarm就不会再次询问了。激活的
ZoneAlarm任务条上有一个标记着"停止"记号的图标,用户的一次鼠标单击就可以
中断任何可疑的网络连接。更方便的是,这种中断操作可以自动化。例如,无论什
么时候,只要用户离开电脑,屏幕保护程序被启动起来后,未经允许的网络连接就
不能进行。ZoneAlarm的安全设定分别针对本地网络和Internet实施,但是用户只
能选择高、中、低三级保护。在资源保护的粒度上,ZoneAlarm缺乏Symantec的防
火墙那样拦截Java和ActiveX的能力。它也没有提供对用户隐私的保护。
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.32.142]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店