史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 應用軟體使用技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2004-05-31, 06:04 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 你的個人防火牆會突無法工作嗎?

作者: techupdate.zdnet.com
Friday, May 28 2004 9:54 AM 如果你的業務需求迫使你必須要在系統中安裝個人防火牆,那麼在選項任何第三方防火牆產品前,你應該先考慮一下另一種安全原則。

雖然Microsoft的Windows系統總是存在這樣那樣的漏洞,需要用戶不斷打修正檔,不過在WinXP中,內裝的防火牆已經從玩具變成真正有用的技術了。現在也到了市場上剩餘的幾家個人防火牆產品供應商,如Zone Labs,該考慮更長遠的市場原則了。



目前在個人防火牆產品這個領域的廠商,包括比較大型的Symantec和McAfee,以及一些小型的廠商,如Zone Labs、Sygate、Internet Security Systems(BlackICE的作者)以及Panda Software,它們都會因為Windows內裝防火牆功能的日益強大而受到影響。

歷史回顧
在上個世紀九十年代中期,微軟Windows系統的記憶體管理問題非常嚴重。由此出現了一批第三方的記憶體管理產品,如Quarterdeck的QEMM-386、Qualitas的386MAX以及Helix的NetRoom。


不過由於當時的Windows系統非常脆弱,任何微小的操作系統變化(如昇級)或者安裝新的第三方軟體產品,都會使系統變得非常不穩定,同時迫使第三方的記憶體管理軟體必須重新修改以達到原有的效能平衡。


在那個年代,IBM的OS/2系統被認為是在技術上遠優於Windows的圖形界面操作系統。這使得微軟意識到記憶體管理工作必須由自己的系統來完成,這個決定最終導致了第三方記憶體管理廠商的滅亡。

在Windows內裝了與QEMM/386MAX/NetRoom相似的記憶體管理功能前,微軟曾經將Helix的NetRoom包含在Windows中,不過後來它還是決定獨立進行記憶體管理軟體的開發。


我曾經問過Qualitas的CEO Mary Stanley,如果微軟自己開發記憶體管理軟體,那麼你的公司以後該怎麼辦。我記得她的臉色一下子就變得很難看,不過她還是很有信心的說她的公司在記憶體管理方面會永遠走在微軟前面。

快速前進
不管當時MaryStanley對她的公司抱有多大希望,現在那些公司都已退出了歷史舞台。看看現在的個人防火牆市場,我們會發現它和當初的記憶體管理市場是多麼相似。

對於桌面套用的Windows來說,根本無法與採用了企業級防火牆設計的Linux相比。

不過由於上世紀九十年代中期,微軟已經開始自行研發記憶體管理系統,因此到現在,公司的大部分力量都可以用來處理與安全相關的問題了。通過在XP中內裝自行研發的網際網路連接防火牆(ICF),微軟成功的繞過了集成NetRoom等第三方廠商的防火牆產品帶來的諸多不便。


而在XP Service Pack 2中集成的網際網路連接防火牆(簡稱Windows Firewall),在功能上已經接近了目前不少成熟的個人防火牆產品,如ZoneAlarm 以及 BlackICE。

雖然我可以肯定很多個人防火牆廠商的老闆都在私下裡對微軟這種大力發展Windows防火牆的做法跳腳痛罵,但仍有一部分廠商對微軟的ICF不予理會。Zone Labs市場部副經理Fred Felman說:"必需(開發並集成防火牆)和有能力是兩個不同的概念。如果瞭解網路你就會發現Windows新的防火牆有些眼高手低(over-promises and under-delivers)。可用性、功能性以及安全性都存在問題。"

他還說,就算微軟的Windows首席產品經理Greg Sullivan有意降低大家對Windows防火牆的期望,"它仍然比預期顯得初級"。


不過與1.0版的防火牆相比,SP2集成的防火牆產品進步了很多。


雖然目前它可能還不能動搖市場上成熟的個人防火牆產品,但隨著它的發展,第三方廠商肯定會為此失掉不少市場。比如,不論是使用網路登入指令碼還是活動目錄的企業,都會發現新的Windows防火牆中具有少量的集中管理功能(這是一些更進階的第三方產品才有的功能)。

據Sullivan表示,SP2中的新防火牆和其它一些安全配置可以加強網路的安全並預防緩衝溢出,同時SP2還可以提供更安全的電子郵件和及時消息服務,為Windows增加了很多以前並不具備的安全功能,而不需要安裝任何第三方的安全軟體。

而Internet Security Systems(ISS,個人和企業級桌面防火牆產品製造商)研發部經理Dan Ingevaldson表示,"微軟的防火牆產品將如何影響個人防火牆產品供應商,這是個問題。


同樣的問題發生在他並購了羅馬尼亞的反病毒技術開發商GeCad後。這種'vanilla'式的個人防火牆是危險的開始。


它使得技術慢慢消失。實際上,它只需要第三方防火牆產品功能的95%就足夠了。"

Ingevaldson表示,一些技術不成熟的個人防火牆和反病毒廠商會為此大為擔心,但ISS還不會。據他所知,即將面世的Windows防火牆是預設開啟的,採用嚮導方式進行配置,並改良了說明 資訊。


Ingevaldson認為微軟新的防火牆可能會對ISS的BlackICE PC Protection市場有所衝擊,但並不會影響企業級的防火牆產品,如ISS的RealSecure Desktop。

和防火牆產品不同,微軟看來為第三方的反病毒廠商留下了不少空間。作為SP2的一項安全措施,它可以檢測工作站上是否安裝有任何第三方的防火牆和反病毒產品。


不過有消息說,微軟要求反病毒廠商都要支持一個標準的、類似API的功能,使得操作系統和其它軟體(應用程式、網路接頭、管理控制台等)獲取系統防護狀態等資訊。

Ingevaldson認為ISS在企業級套用上有較大優勢,在企業中,大部分套用都要求深度集成,並且還需要進行集中管理,這方面ISS目前比微軟的新版防火牆領先很多,而像Zone Labs甚至Symantec這樣的廠商就不太樂觀了。他說"微軟的防火牆產品並沒有觸到我們的底線,因此ISS並不擔心。"

不過我並不非常認同Ingevaldson的觀點。當安全計算深入人心的時候,目前針對微軟系統的脆弱性而發起的看上去無止境的攻擊將變得越來越少。


如果有人希望微軟會由於它的信任計算而變得不思進取,那他就錯了。

因為微軟的野心決不僅僅如此,他要打敗Linux、Unix以及其它所有潛在對手。雖然微軟的Sullivan沒有講到SP2之後的計劃,但他表示"可能和很多人想的不一樣,(微軟)非常有野心。


我們會讓我們的產品更加優秀,足以打敗其它廠商。"

安全解決方案供應商Panda Software的CTO Patrick Hinojosa認為Windows Firewall具有一定的效能,並且微軟還會對不足之處進行改進(也許不是很快)。

Panda的主要產品是反病毒軟體,但它的兩個產品Platinum Seven 以及Internet Security都包含防火牆。Hinojosa告訴我,"看了SP2的內容和說明,我覺得可以將Windows防火牆作為我自己的個人防火牆。


"他表示,由於Windows防火牆具有了個人用戶所需的基本功能,因此肯定會對第三方防火牆廠商造成衝擊。不過他並沒有貿然評論Windows防火牆現有的功能是否會迫使Panda在它自己的產品中去掉防火牆功能。

ISS的Ingevaldson問我,微軟是否會將市場的部分份額留給那些小型的專注於安全的軟體廠商。我的回答是:微軟也許不會像獨立的開發商做的那麼好,但他最終會提供足夠用的產品。

我之所以說最終,是因為在SP2中的新版Windows防火牆還欠缺一些第三方廠商的產品所擁有的功能,比如輸出過濾。


輸出過濾是個很重要的功能,它能避免已經遭到侵害的電腦將有問題的程式碼(比如蠕蟲)發給網路上的其它電腦。

在最近的RSA會議上,SP2所遺漏的功能令人吃驚,不過比爾蓋茨卻強調,對輸入資料的檢測才是企業安全最重要的因素。SP2中加入了對輸入資料的檢測,它使得在預設狀況下,IE或Outlook系統不會下載或執行來自不受信站點的文件。

比如,當郵件中帶有可執行文件,而這封郵件來自不受信的"網際網路區域"(預設情況下不受信),SP2中的技術會禁止用戶開啟這個文件。

由於很多病毒的傳播方式都是通過郵件附件的形式(如Sobig),因此這類檢測可以有效地在用戶雙按郵件附件後防止病毒的感染和傳播。但是,病毒仍有可能突破這第一道防線。


設想一下,如果病毒郵件被企業的某個工作站接收,而很多訪問這個工作站的遠端訪問用戶和移動用戶並不都處於防火牆之下,這些用戶可能通過某種途徑開啟帶有病毒的郵件啟動病毒,而這個工作站的受信資格將使得SP2的檢測技術忽略對它的審查,從而使得來自這個伺服器的病毒文件可以四處傳播。

蓋茨對檢測的描述讓我們知道,微軟提供的技術對於企業安全來說,和其它防火牆產品所提供的功能並沒有什麼區別。


事實上,通過對Protego Networks業務開發部副經理Chris Blask的採訪使我瞭解了一個帶有檢測動作的可以自動回應的網路是阻止網路堵死的關鍵。

微軟的Sullivan說目前還沒有計劃在Windows Firewall中加入流出資料的過濾功能。


這是個嚴重的錯誤。這對於微軟信任計算的第一步來說,並不是一個好的開始。

當我在剛才講述這種失誤帶來的威脅時,也許真正的災難就已經從一個受信的資源傳播開了。Sullivan也承認微軟會對這種情況作出考慮。

如果微軟真的像Sullivan所說的那樣是個野心家,那麼他一定會對SP2中的這些疏漏作出很好的反應。


到時候,在記憶體管理領域的歷史也許又要重演了。

原文:http://techupdate.zdnet.com/techupdate/stories/main/personal_firewall_obsolete.html
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 08:36 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1