比较客观真实的2006年个人防火墙评测报告

随身玩伴

Zone Alarm Pro 专业用户推荐

性能得分：
Zone AlarmPro在参测产品当中可以算作一个大块头，资源占用较多，但是考虑到其集成的大量功能组件，这样的表现还是相当不错的。事实上Zone AlarmPro在运行的时候还是比较快速的，虽然在执行很多大量耗费运算能力的操作时会造成其它程序的粘滞，但是稳定性很强，从来没有造成程序崩溃。在传输响应时间和吞吐能力两项测试中的成绩属于中等，值得一提的是由于Zone AlarmPro组件所使用的UDP端口与Qcheck所使用的端口存在冲突所以无法获得准确的测试数据，从我们在防火墙组件没有完全启动时进行的测试来看，UDP协议下的传输能力也相当不错。而HTTP传输测试的验证了实际应用环境下Zone AlarmPro不错的传输表现，44秒的测试成绩比大多数产品都有优秀。

防御能力：
如果说从性能测试的结果还无法完全看出Zone Alarm Pro的强悍，那么在防御能力一项Zone AlarmPro的完美表现绝对可以说明一切。各种测试都无法从部署了Zone AlarmPro的计算机获取任何信息，只是在外向连接测试中无法阻止firehole和tooleaky的穿透，而这是所有防火墙产品共通的一个问题。另外，与大多数其它产品对RPC漏洞远程利用工具返回部署了防火墙的命令行提示不同，该工具也无法从目标计算机得到任何反馈。
功能：
丰富强大的功能是Zone Alarm Pro的另一大亮点，与Zone AlarmPro相比大部分产品似乎只能被成为防火墙组件而不能被称为防火墙系统。无论是防护功能还是防护广度Zone AlarmPro都更胜一筹，该产品可以过滤网址、可以阻止弹出广告窗口、可以将未受保护的无线网络自动纳入保护范畴。更加重要的是，Zone AlarmPro的基于程序的防护规则不仅仅针对应用级别，还能够在系统组件层次制订访问规则，这意味着相对于针对应用程序的粗粒度防护所具有的种种问题可以得到很大改善。除了基于IP协议和应用程序的安全过滤之外，Zone AlarmPro还提供了大量的防护特性以将用户计算机的安全推向更高层次。最显著的例子就是Zone AlarmPro是少有的以防火墙功能为核心却辅之以恶意软件检测功能的安全套件，该系统内置的病毒监控和反间谍软件功能都具有很高的实效。另外，被称为myVAULT的隐私保护功能可以防止个人信息被非法用户获得，用户可以为帐号密码信息、信用卡号、银行帐号等多种敏感信息生成规则。ZoneAlarm Pro在功能上的一个缺点是其并不将更新文件下载到本地计算机，而是需要打开相关的页面由用户手动下载

[ZA系统元件控制.png][ZA应用程序控制.png][ZA的myVAULT隐私保护功能.png][ZA的NAT等高级功能.png]

可管理性：
Zone Alarm Pro的规则定义非常细致全面，所有规则都分别针对进入和外出两种活动定义，即使对相同的应用程序而言，这使得ZoneAlarm Pro的防护非常细致全面，所有的的规则集非常灵活和智能，事实上这让我们联想到了CheckPoint。在安装的时候ZoneAlarm Pro会发现计算机所连入的全部网络并由用户选择这些网络应该应用什么级别的防护，而且Zone AlarmPro还能够手动添加网络区域，授予用户最大限度的自定义能力。
ZA增加IP过滤规则.png]

易用性：
在整体设计上Zone AlarmPro的规划相当清晰，不同的功能组件明确的放置在相应的选项页中，大部分常用的状态信息在主界面提供给用户使用。由于选项相对繁多，在使用负担上要略重一些，这主要是由于在多个选项页和设置层次之间进行跳转所至。不过Zone AlarmPro的规则生成系统相当智能，，用户无需为每个程序选择处理方式，系统会自动的为大多数应用程序赋予正确的访问权限，例如自动授予QQ自由访问Internet的权限。系统的提示信息相当丰富而且可用性强，与用户操作关联性不大的信息往往被隐藏了起来。一个美中不足之处是Zone AlarmPro还不支持简体中文，这阻碍了消费者群体对该产品的认知。

[ZA自动生成的应用程序规则集.png]

总评：
Zone AlarmPro作为全球最受欢迎的个人防火墙套件，各个方面的表现都相当优异，丰富的功能和可调控能力更是无出其右。在运行效能上Zone AlarmPro并不是特别出众，这主要与其较多应用了内容检测技术有关。总的来看这是一套可靠性很强的个人安全防护产品，适合那些需要高级别安全防范的用户。一个不算不足的不足是Zone Alarm Pro的选项实在太过丰富，用户必须经过一定时间的钻研才能掌握.

BlackICE PC Protection

性能：
BlackICE是所有产品中耗用内存最少的，运行起来对系统的影响也非常微小，是“麻雀虽小、五脏俱全“的典范。在TCP协议状态下的传输测试BlackICE表现的异常稳定，多次手动测试的成绩完全一样，而在UDP协议下的测试则有比较明显的波动，为了更好的发现峰值我们的测试次数大多超过了5次.
防御能力
在端口静默方面BlackICE的处理几近完美，只有113端口处于关闭状态，其它所有端口都处于隐秘状态。而在外向连接一项上，BlackICE的表现让我们略感失望。BlackICE的应用程序识别技术只发现了firehole而对另两种测试工具毫无反应，大部分参测产品都能够阻挡的leaktest也能够毫无阻隔的穿透防火墙，而leaktest并没有利用IE浏览器的组件进行穿透，这说明BlackICE在管理外向连接上并不是非常可靠。虽然BlackICE发现了端口扫描活动，但是仍旧被X-Scan发现了很多安全漏洞并获取了大量信息，而且是这是处于最高防护级别下的测试结果。

[BI依靠程序指纹检测到firehole.PNG]


在安装了BlackICE之后会有一个十几分钟的建立系统基线的操作，这个操作会为系统中的所有程序和库文件建立指纹数据库。通过该数据库BlackICE可以监控这些文件的状态变化并决定其访问权限，用户也可以手动的选择是否允许这些文件进行活动。与其它参测产品相比，BlackICE的附加功能较少，对于恶意软件等安全问题并没有集成解决方案。

[BI建立应用程序规则.PNG][BI应用程序识别.PNG]

可管理性：
大部分配置选项集中在一个统一的对话框中，用户可以在这里完成BlackICE的大部分设置。由于BlackICE的大部分网络通信规则都由系统根据网络活动自动产生，其网络过滤规则的编辑能力很弱。针对一个网络访问，BlackICE可以让用户决定对之采取阻塞还是信任的态度，而且用户能够对这种处理方式赋予时间参数，例如在进行某项工作时暂时性的信任某个远程会话一个小时。
[BI管理界面.PNG]

易用性：
与其它产品相比BlackICE的界面设计比较简易，在面板上提供了较好的事件信息和历史回顾，而更多的功能和配置选项被放置在了程序菜单当中。事实上这种规划方式容易对用户造成困扰，加之界面以文本为主，用户较难通过直觉上手。BlackICE提供的信息还算详实，而且可以按照不同的事件级别和时间范围来过滤各种信息的显示，对于有统计需求的用户来说是一个不错的特性。另外，由于肌肉事件测试中的某些操作BlackICE无法支持，所以操作负担测试并没有进行，从使用过程中的感受来看使用BlackICE的物理负担属于中等
总评：
用户在使用BlackICE的过程中通常不需要过多的参与，系统引擎会自动为用户做出大部分决策。系统界面的设定是BlackICE的弱项，这阻碍了BlackICE的用户化进程。这款产品适合具有一定专业技术知识的用户使用，同时也适合用于对性能敏感的应用环境。
Norton Personal Firewall

性能：
诺顿的性能表现可谓喜忧参半，在传输响应时间和吞吐能力测试中所获得的成绩表明了诺顿的高效，HTTP传输测试的成绩也相当不错，但是运行时的缓慢使得诺顿成为低配置计算机的杀手。作为套件产品的一个组成部分诺顿个人防火墙带有过多的共用组件，这成为消耗巨大系统资源的主要原因。计算机的速度很容易被诺顿拖慢，而启动速度也较未安装防火墙软件时有明显的延长。


防御能力测试方面诺顿的表现尚可，安装了诺顿的计算机可以保证处于端口静默状态，而外向连接方面也可以获得一定的保障。从X-Scan的扫描结果可以看出，攻击者仍旧有办法发现计算机上运行着服务的TCP端口，而且包括计算机名和工作组名等信息可以通过NetBiOS协议获得。一个好消息是建立空会话、枚举用户名密码等攻击无法对安装了诺顿的计算机发生作用，只有一些服务和组件的漏洞会被攻击者发现。在足够高的防护级别下，通过网络访问共享、可移动设备的使用等都受到了很好的限制，这意味着诺顿除了能够抵御互联网威胁之外，对局域网和本地的安全威胁也具有较强的处理能力。
功能：
诺顿防火墙所集成的功能相当丰富，除了作为基础的防火墙功能，入侵检测、隐私保护等功能也颇为强大。诺顿在浏览器中集成了增加了Web辅助功能插件，该插件可以动态的根据所浏览网站的情况进行弹出广告窗口、Applet、ActiveX等内容的阻塞，而用户可以针对单个网站决定是否阻塞这些内容同时可以以关键字的形式维护广告信息过滤清单。另外，该插件还可以帮助用户禁止浏览器信息、访问历史信息等泄漏给外部网络。诺顿防火墙所集成的入侵检测组件带有大量的攻击指纹，而且能够设定在多长时间内阻止发起攻击的计算机，其功能性已经趋进了专业的入侵检测系统。
[Norton整合在IE中的Web助手.png][Norton针对单个网站进行阻塞设置.png][Norton丰富的入侵检测指纹.png]
可管理性：
诺顿的定制能力不单体现在对防火墙规则的设定上，辅助功能组件的管理功能也相当强大。以入侵检测指纹为例，用户可以决定哪些攻击需要被检测而哪些需要被忽略，同时可以选择发现攻击时的告警方式。另外，不只防火墙具有防护等级，包括隐私保护等辅助功能在内也可以独立设置级别，用户可以快速简便的设定计算机的防护强度。

[Norton可以自定义的隐私保护级别.png]

在整体设计上诺顿相当规整，大量的
易用性：功能很好的排布在寥寥几个选项页中，相应的许多操作需要深入多个界面才能完成，这也是诺顿操作负担较高的主要原因。诺顿为用户提供了多种应用情境模式的选择，对这些模式诺顿分别赋予了不同的规则权限，初级用户可以安全高效的利用模式的切换来调整对计算机的保护。而相对专业的基于地址和协议的过滤条件设定被隐藏在了高级设置部分，专业用户在需要的情况下可以通过该界面定义更加复杂的防护策略。
[Norton高级规则定义界面.png]   

作为Norton Internet Security2006中的一个组件，诺顿个人防火墙的整体设计非常优秀，处处显出大家风范，该系统包含的很多功能只有在企业级安全软件中才能见到。在保护能力上诺顿足以满足个人计算机用户的需要，特别是能够与反病毒等组件结合的时候可以获得极为全面的安全防御。一个比较明显的问题在于只需要基本防火墙功能的用户是否愿意牺牲如此多的系统资源，运行效能问题使得诺顿更适合应用在具有足够性能的计算机上。

McAfee Desktop Firewall

性能：
McAfee的传输性能极为优秀，在最初开始测试的时候McAfee会提示检测到数据流量，需要允许其通过才能执行测试。TCP传输非常稳定，测试结果与未安装防火墙时的峰值数据完全一样，而UDP测试的成绩也接近峰值水准。在HTTP传输测试一项，McAfee的速度不是很理想，其成绩落后于大多数产品。相比之下，McAfee的运行效能则表现尚可，尽管占用了较多的系统内存，但是开机速度和运行速度都没有受到影响。

防御能力：
从该项测试的结果可以看出，McAfee的防御能力非常高。端口静默一项McAfee只是在缺省配置下有一个端口未被置为隐秘模式，而在该模式下虽然X-Scan发现了3个TCP端口，但是并没有泄漏太多有用的信息。而将防御等级调至最高以后，这些问题都得到了完美的解决。另外，与大多数产品一样，McAfee也无法阻止firehole和tooleaky向外传送数据。

功能：McAfee对非法入侵的检测和处理有很多独到之处，例如当入侵发生的时候McAfee可以嗅探相关数据并予以保存、将产生的攻击告警发送到用户指定的电子邮箱。如果用户将防护级别设置成学习模式，McAfee会将学习到的规则加入到刚刚使用的安全等级当中，从而形成自定义的安全等级。另外McAfee对应用程序的管理也相当细致，在授予各种应用程序权限的基础上，还能够管理应用程序是否可以调用其它的程序组件。

[MA基本选项.png][MA应用规则设定.png]

可管理性：
McAfee规则集定义能力是其最突出的特点之一，不但内置了大量的协议和服务支持（单就内置的协议数量来说恐怕没有产品能够与McAfee相提并论），而且在定义网络过滤规则的同时还可以选择相关的应用程序以进行更细致的限定。一个贴心的特性是McAfee可以克隆已有的规则并经过修改生成新的规则，这使得快速生成大量规则成为可能。更加令我们惊奇的是，McAfee能够对规则如何生效、什么时间生效等条件做出详尽的定义，这完全体现出McAfee在定制能力上的卓越。
[MA内置的协议支持非常丰富.png][MA规则的生效设定.png]

易用性：
McAfee的功能设计相当简洁规整，防火墙规则、应用程序规则、入侵检测规则和事件曰志等四个主要的功能面板构成了McAfee的主界面，而大部分面向高级用户的选项都被划分到了程序菜单当中。这样的设计使得初级用户也可以很快的了解McAfee的使用，而同时不妨碍专业用户利用McAfee在定制能力方面的优势。
总评：
McAfee的功能并不非常出众，但是在性能和细节设定上的精彩表现使其专业特质表现得淋漓尽致。尽管McAfee具有很高的易上手度，但我们仍然认为这是应该出现在技术专家工具包中的利器。
lookNstop

性能：lookNstop的安装包不足1M，是所有参测产品中最小巧的一个。而其对内存资源的占用也仅高于BlackICE，运行起来极为快速。根据传输性能测试结果分析，lookNstop的传输性能非常趋进峰值。但是随着测试数据包的不断增大，其传输性能有一定的下降而且非常不稳定。必须说明的是，我们必须关闭lookNstop对TCP和UDP数据包的阻塞才能正常执行测试。

防御能力：
小块头未必没有大智慧，lookNstop的防御能力测试表现非常不错。除了没有阻挡住tooleaky向外发起的连接之外其它的测试全部通过，而事实上与其它两种外向连接测试工具一样，lookNstop发现了tooleaky对IE组件的调用，只是未能阻止连接的进行。

[look能够识别对IE组件的调用.png]
功能：
与其它产品相比，lookNstop的功能特性无疑是非常薄弱的。除了基于网络过滤和应用程序检测的防火墙功能之外，lookNstop没有提供任何其它的附加功能。不过在lookNstop的网络过滤功能中内置了一些针对网络入侵的规则，用户也可以针对各种攻击定义相应的规则以扩展入侵检测功能。
可管理性：
专注于基本防火墙功能使lookNstop具备了较强的规则定义能力，内置的协议和服务支持相当丰富。而且lookNstop对网络数据包的识别相当细致，包括数据包的旗标都可以在规则中进行独立的定义。另外，在不需要执行应用程序检测的情况下用户可以将该功能关闭，而单独使用lookNstop的网络过滤功能执行保护

[look规则定义.png][look旗标识别.png]
易用性：
lookNstop的界面设计虽然条块分明，但是功能选项的排布显得十分凌乱，对于初级用户来说会对配置使用lookNstop感到非常困扰。另外包括协议、DLL等功能与主要功能没有紧密结合，从使用便利性和用户操作习惯上都有一些弊端。

lookNstop的系统引擎非常优秀，可以卓有成效的达到高强度的保护，事实上lookNstop的很多防御特性和规则设置都超出了一般用户的需要。但是在用户界面和管理功能方面与优秀产品还有差距，使人的印象lookNstop并不象是一款商业产品。如果在用户交互方面有所改进的话，lookNstop无疑将成为具有很强竞争力的个人防火墙软件。