xlcad3k 2006-3-18 10:00
【转贴】防火墙之争——Outpost往左,LNS向右
从网络开始成为一种生活方式被人们所选择的那一天起,网络安全的重要性便不可避免的日益凸显。马斯洛需求层次理论告诉我们,人们对于安全的需要根深蒂固;科特勒市场理论告诉我们,庞大需求缔造庞大市场——这一切都似乎在宣示,网络安全产品巨大的应用前景。基于这一认识,早在路由器刚刚发明的那个时代,被称为“防火墙”的网络安全技术便诞生了。之后的日子里,从基本的包过滤,到渐成体系的过滤规则系统,再到研究中的动态包过滤,个人防火墙技术的飞速发展从未停滞。点击浏览器图标,链接Google,输入关键词“Firewall”,数数看一共有多少个品牌映入眼帘?今天的网络防火墙世界,正呈现出一派百花齐放,欣欣向荣的繁盛景象!值得一提的是,在这众多网络防火墙当中,有两个与众不同的品牌,它们将成为今天我们讨论的主角——Outpost(以下简称OP)和Look'n'stop(以下简称LNS)。
CDV"Uj
来自俄罗斯的OP(最新版本3.0-431)与来自法国的LNS(最新版本2.05p3)同属市面上顶级的防火墙产品,从技术方面分析,它们都采用了系统型包过滤规则的网络防御方式。在工作状态下,它们根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。OP与LNS目前已经建立起各具特色的过滤规则体系。
sR)jm_z
先来看LNS。由于尽量简化了不必要的功能,LNS的过滤规则体系显得格外简单,它由两个层面组成:应用程序层面及全局层面。和大多数防火墙不同的是,LNS的防御基调是灰色的,即LNS默认程序或进程有害并有意图阻挡的倾向(这从LNS全局策略的最后一条“Block any other Packets”看得出来)。举例来说,对于要求网络连接的某个程序A,即使你已在应用程序策略中设置允许其访问网络,该程序还必须通过全局策略的检查,这就是说,LNS的应用程序策略优先级要低于全局策略。在上述情况下,只有进一步通过全局策略的检查,程序A才能获得访问网络的许可。很多朋友反映LNS难以设置,关键就是因为这个原因——在应用程序策略里明明已经设置好允许其采用任何方式的网络连接可程序就是连不上网——现在你知道遇到这种情况你还需要修改全局策略,而这确实是比较考量功力的。A/Kd{L#g
OP的过滤规则体系与LNS有所不同。首先,OP的防御基调是阳光型的,表现在应用程序策略的优先级要高于大部分的全局策略(除开NetBIOS阻挡规则)。OP压制了全局规则拦阻联网请求的欲望,你在这里找不到诸如“Block all other...”这样的字眼,全局规则的逻辑面仅仅覆盖了所有可能情况中的一小部分,其他未覆盖的情况统统交给应用程序策略以及Outpost自定义方针去处理。因此如果某个程序要访问网络的话,通常只需在应用程序层面策略中指定并允许即可;此外,由于OP较LNS加入了更多的监控功能和插件,其构建的过滤规则体系要比LNS要复杂得多。以最新的3.0-431版本为例,OP的过滤规则由十个层面构成,优先级依次递减:
m(k-NY,C%I8K1s y:S
\I
Plugins--插件