 |
| 黑客入地无门:国外流行防火墙横向评测 |
|
2006-12-28 10:07:22 BlackWing 资料来源:太平洋电脑网
|
|
安全性
Outpost Firewall PRO的安全设计是不错,但仍然存在一些大漏洞。开发商在反泄漏保护上花费了不少力气,但是在本阶段并没有对这方面进行测试。然而,测试方发现,攻击者可以利用其中的不少隐患来绕过反泄漏保护功能和其它安全机制。此外,Outpost Firewall PRO中有些功能存在太多bug以致不能正常使用。介于Outpost Firewall PRO的不稳定性与兼容性问题,测试方表示并不建议使用Outpost。
理想个人防火墙的设计
测试方从程序员的角度阐述了理想个人防火墙的设计。首先,理想的个人防火墙必须是安全的。所以这里只谈论安全性,而如易用性等方面则不涉及。
内核驱动
第一部分是内核驱动。它有两个主要功能,所以这也是为何它通常作为两个组件而不是一个组件来实现的原因。第一个功能就是包过滤器。通常在NIDS,TDI或同时在这两个级别,驱动会检查每一个进入或出网的数据包。这也称为入站出站连接保护。有些防火墙并没有实现入站和出站的连接保护功能,但它仍然具有内核驱动,这是因为它们具有第二个功能。第二个功能称为沙箱。实现沙箱的最普通方法就是SSDT钩子和SSDT GDI钩子。防火墙驱动的功能取代了某些系统功能来验证调用应用程序或拒绝某个动作或把执行传给原来代码的权利。这些方法允许防火墙控制所有可能的危险活动,这些活动如尝试打开文件,运行进程,注册键值,修改防火墙设置,自动响应查询等。
系统服务
存在称为系统服务的特别用户模式进程。这些进程在系统中有特别的功能与行为。它们运行在特权系统帐户中,而不是在普通用户帐户。这就允许服务独立于用户运行,甚至在没有用户登录的情况下也能够运行。个人防火墙中服务的角色就是要保证主要组件间通讯的安全。服务从GUI(图形用户接口)和内核驱动中接收信息并互相转发这些信息。例如,如果防火墙实在学习模式中时,在钩子SSDT函数中的驱动代码就可能会不能够判断是否允许还是拒绝某个行为,因为在数据库中没有相应的行为规则。在这种情况下就需要用户的参与了。这就需要向GUI发送一条信息来显示对话框并准备接收从对话框返回的回复。这个通讯通常由服务组件实现。有时这个防火墙服务用于确保GUI可用。
图形用户接口
图形用户接口是防火墙的用户部分。它通常提供了一个用户管理防火墙的系统托盘图标。GUI另外一个重要功能是询问用户针对某个行为的选择情况,这通常都发生在学习模式。
自我保护
不单是对个人防火墙,对所有安全产品来说这个都是首要规则。不管功能如何完美,一旦防火墙不能自我保护,一切都是白搭。如果某个恶意活动能够关闭,禁用或破坏防火墙,那么跟没有防火墙没有任何区别。防火墙的所有部分都应该实现保护,这些方面有防火墙进程,文件,注册表入口,驱动,服务和其它系统资源与对象。
验证自身组件
对自身组件的验证跟上面提到的自我保护很像。防火墙是一个复制的程序,它们通常都由多个模块或组件组成。在这些情况下,有一些主要模块是由操作系统执行的。在启动或这些模块运行过程中,这些模块会加载防火墙的其它模块。这就是通常所说的模块动态加载。对动态加载的模块进行完整性检查显得非常必要。这意味着,完整性检查程序必须要在其中一个主要模块中实现。
|
 推荐产品 |
 |
 用户评论 |
|
|
 |
|
 文章搜索 |
|
|
| 最新文章 |
|
|
 热门文章 |
|
| 产品搜索 |
|
|
|
| 按价格范围检索 |
|
|
| 按品牌检索 |
|
|
|
京ICP证030062号
网络实名:IT价格网
相关文章
诚信:
