扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
对于广大的ADSL虚拟拨号用户 对于防火墙安全的需求是怎么样的呢?
对于个人用户而言 对安全需求较大的主要集中在 个人私密信息上 如银行帐号 游戏帐号等 有效且准确的截获并阻止这些私密信息向互连网传送显得尤为重要
而对于外部攻击的安全需求则不是这么高 因为ADSL虚拟拨号的特殊性 在每次拨号成功后 其从网络供应商那里获得的IP地址都是随机的 不固定的 所以对于针对固定IP的黑客攻击在ADSL的面前显得力不从心 如DDOS IP攻击等
一个优秀的防火墙应该同时具备良好的防止内部信息泄漏和防止外部攻击能力 但是从ADSL个人家庭用户安全需求的角度来说 对防止内部信息泄漏能力的需求是大于防止外部攻击能力的 原因在上面已经说明
那么评判防火墙防止内部信息泄漏的标准又是甚么呢
还好现在国际上有一个以测试防火墙防止内部信息泄漏为主的安全测试Firewall Leak-tests 该测试用一些常见和不常见的方法来测试防火墙拦截私密信息向外发送的能力
这里是去年11月12日Firewall Leak-tests结果[url]http://hi.baidu.com/zqinyan/blog/item/6668546d969766f843169493.html[/url]
从这个表里可以看到2个HIPS软件 ProSecurity 和System Safety Monitor 为甚么这2个并不是专业防火墙软件的HIPS能够在这个表里位列前几名呢
原因在于Leak-tests的测试里 很多的将私密信息隐秘传送的方法都是HIPS软件AD(应用程序控制)的拦截范畴
所以在使用HIPS的前提下 防火墙的防止各种私密信息隐秘传送的能力基本可以由HIPS承担 当然也可选择附带了防火墙模块的HIPS 毕竟HIPS是不带防火墙的
所以 对于使用ADSL虚拟拨号的个人用户而言 以基于HIPS的防护模式
防内部分:
那个防火墙防信息泄漏测试(LeakTest)的内容 基本上是属于HIPS的AD防护内容 再加个控制程序外联的防火墙模块
嗯 HIPS在防止内部私密信息发送的能力上一点也不差 也能很轻易的在LeakTest的排名上排到前几名
而且目前ProSecurity作者的目标是将LeakTest的测试全部通过
防外部分:
对于常见的网络恶意攻击(如SYN洪水 DDOS等)可以导致受攻击对象网络堵塞而无法上网 不过这样的针对固定IP的攻击对于个人用户而言 只需简单的断网-联网 即可 因为重新联网后IP地址即不一样了 这些针对固定IP的攻击就统统白费了
另外 还没听说过谁会针对个人用户发动这些攻击
所以外部攻击对于ADSL的个人用户来说安全需求不大 就算是真的有人发起了这样的攻击 别的不说 就连配备了价格几十万的高级硬件防火墙的服务器在面对这些攻击的时候也显得力不从心 就更别希望简单的个人桌面防火墙能够防御的了
防黑部分:
对于常见的黑客攻击 对于个人用户无非一下几点
1、利用0day等 传马 取得肉鸡
2、利用0day等 传马 取得控制权
3、利用0day等 传马 获取私密信息
以上的几点都有一个前提 就是 传送病毒、木马到目的电脑 并激活 所以这又回到了传统的防毒范畴 而HIPS的防毒能力还是不弱的
0DAY部分:
至于利用系统0day 呵呵 就算黑客利用最新的系统0day 入侵了目的主机 但是在有HIPS的控制下 他也无法有甚么可以得逞的作为
例如远程创建病毒、木马 远程激活病毒、木马 获取用户私密信息并发送到目的IP(这又回到了防内部信息泄漏的范围了)
这些动作都逃不过HIPS的监控 在HIPS的控制下要取得主机的权限还是有些难度的 当然这还得依靠好的HIPS规则
所以这样的黑客 顶多就和局域网里一样 大家可以互相访问 但是就是只能看看打印机共享而已…… 除非你给他权限……
漏洞部分:
虽然现在通过网页浏览的形式挂马简单方便又能保证数量 但仍然有好些人是以大范围扫描漏洞 通过系统漏洞进行入侵的
所以每个月微软推出的系统补丁是必不可少的 虽然HIPS能在一定程度上防止利用漏洞的攻击 但是HIPS的研发目的不是取代系统补丁 所以还是老实的每个月打补丁吧
在配合上关闭 共享服务 Terminal Services服务 为用户添加强壮的密码 等等安全优化 你会被漏洞扫描并攻击成功的几率远小于上网中毒的几率 如果实在不放心 那就开启系统自带防火墙吧 XP系统自带的防火墙是OME的TINY防火墙 就防外部入侵和攻击方面来说 对个人用户而言是足够了的
说了这么多 只是想说明对于ADSL个人用户来说 对防内部信息泄露的安全需求 远大于 防外部攻击的安全需求
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
京公网安备 11010802021500号