防火牆之爭——Outpost往左，LNS向右

[psac]

從網路開始成為一種生活方式被人們所選項的那一天起，網路安全的重要性便不可避免的日益凸顯。

馬斯洛需求層次理論告訴我們，人們對於安全的需要根深蒂固；科特勒市場理論告訴我們，龐大需求締造龐大市場——這一切都似乎在宣示，網路安全產品巨大的套用前景。


關於這一認識，早在路由器剛剛發明的那個時代，被稱為「防火牆」的網路安全技術便誕生了。


之後的日子裡，從基本的包過濾，到漸成體系的過濾規則系統，再到研究中的動態包過濾，個人防火牆技術的飛速發展從未停滯。


點擊瀏覽器圖示，連接Google，輸入關鍵詞「Firewall」，數數看一共有多少個品牌映入眼簾？
今天的網路防火牆世界，正呈現出一派百花齊放，欣欣向榮的繁盛景象！值得一提的是，在這眾多網路防火牆當中，有兩個與眾不同的品牌，它們將成為今天我們討論的主角——Outpost（以下簡稱OP）和Look'n'stop（以下簡稱LNS）。


來自俄羅斯的OP（最新版本3.0-431）與來自法國的LNS（最新版本2.05p3）同屬市面上頂級的防火牆產品，從技術方面分析，它們都採用了系統型包過濾規則的網路防禦方式。


在工作狀態下，它們根據定義好的過濾規則審查每個資料包，以便確定其是否與某一條包過濾規則匹配。過濾規則關於資料包的報頭訊息進行制訂。報頭訊息中包括IP源位址、IP目標位址、傳輸傳輸協定(TCP、UDP、ICMP等等)、TCP/UDP目標連接阜、ICMP消息檔案類型等。OP與LNS目前已經建立起各具特色的過濾規則體系。


先來看LNS。

由於盡量簡化了不必要的功能，LNS的過濾規則體系顯得格外簡單，它由兩個層面組成：應用程式層面及全局層面。和大多數防火牆不同的是，LNS的防禦基調是灰色的，即LNS預設程序或行程有害並有意圖阻擋的傾向（這從LNS全局原則的最後一條「Block any other Packets」看得出來）。


舉例來說，對於要求網路連接的某個程序A，即使你已在應用程式原則中設定允許其訪問網路，該程序還必須通過全局原則的檢查，這就是說，LNS的應用程式原則優先等級要低於全局原則。在上述情況下，只有進一步通過全局原則的檢查，程序A才能獲得訪問網路的許可。很多朋友反映LNS難以設定，關鍵就是因為這個原因——在應用程式原則裡明明已經設定好允許其採用任何方式的網路連接可程序就是連不上網——現在你知道遇到這種情況你還需要修改全局原則，而這確實是比較考量功力的。


OP的過濾規則體系與LNS有所不同。首先，OP的防禦基調是陽光型的，表現在應用程式原則的優先等級要高於大部分的全局原則（除開NetBIOS阻擋規則）

。OP壓制了全局規則攔阻連網請求的慾望，你在這裡找不到諸如「Block all other...」這樣的字眼，全局規則的邏輯面僅僅覆蓋了所有可能情況中的一小部分，其他未覆蓋的情況統統交給應用程式原則以及Outpost自訂方針去處理。因此如果某個程序要訪問網路的話，通常只需在應用程式層面原則中指定並允許即可；此外，由於OP較LNS加入了更多的監控功能和插件，其構建的過濾規則體系要比LNS要複雜得多。以最新的3.0-431版本為例，OP的過濾規則由十個層面構成，優先等級依次遞減：

Plugins－－插件

Trusted/NetBIOS Zones－－信任區域

Global NetBIOS Block Rules－－全局的NETBIOS阻擋規則

Global Rules with High Priority flag－－標記為高優先等級的全局規則（基本無）

Blocked/Trusted Application Settings－－應用程式分類設定

Application Rules－－應用程式原則

Global Rules－－全局原則

Outpost Policy－－Outpost自訂方針

Allow NAT Packets－－允許NAT資料包

Transit Rule－－通過規則

怎麼樣，很龐大的規則體系吧？下面我們著重來看看其中的幾個層面。

－－插件。OP3.0-431原有的了包括網頁內容過濾、活動內容過濾、入侵檢測、廣告攔截、Email過濾、DNS緩衝和反間諜七大插件，每個插件都設定了相關的內容，對請求連網的程序進行判斷從而決定攔截或者放行。

在OP的操作界面上可以對插件內容進行修改甚至禁用這些插件。注意插件的執行是要消耗系統資源的，當你覺得它給你帶來的安全效能提升所導致的滿足不足以抵消資源耗損引發的不快時，你應該果斷的禁用——平心而論，這些插件能夠增加的安全係數並不多，包括新增的Anti-Spyware在內。


－－應用程式分類。

OP將所有已執行的應用程式按可信度分成三組：完全信任組、不信任祖以及部分信任組。

注意這種區分的優先等級顯然要高於應用程式原則——處在完全信任組的程序可以提出任何形式的連網請求都不被拒絕，處在不信任祖的程序無法連網，而所有部分信任組中的程序將通過應用程式原則來進行判斷。


這種分類的意義在於能夠更加方便用戶操作——當用戶發現某個可信任的程序連網出現錯誤時將他加入完全信任組即可解決所有問題。


值得再三強調的是，完全信任組同時也是一種危險的存在，不加屏障的允許程序通行可能導致諸多的安全問題，而從帶寬佔用的角度來看這樣做也是不經濟的，所以不要輕易將程序置於該群組當中除非你真的確定它是可信的。


－－應用程式原則與全局原則。這兩個層面加在一起構成了OP過濾體系的主要組成部分。相關的設定可以參看《百煉成鋼－打磨你的Outpost防火牆》一文，裡面已經作了十分詳細的說明。
－－Outpost自訂方針。Outpost可以對其工作方針進行界定，它一共提供了五種模式供用戶選項——禁用模式、多數允許模式、嚮導模式、多數攔截模式以及全部攔截模式。

顯然禁用模式與全部攔截模式太過極端，而多數允許模式在安全性上也有所保留，因此我們傾向於在嚮導模式和多數攔截模式之間作出選項。


前面已經說過，OP的全局規則事實上僅僅覆蓋了所有可能情況中的一小部分，我們在正常的工作中隨時會遇到沒有事先界定的網路請求——選項嚮導模式或多數攔截模式取決於這類突發狀況的發生頻率。


注意到所有的突發請求已經通過了現存體系中全部過濾規則的稽核，因此如果你願意選項多數允許模式的話也未嘗不可。


有朋友提到倣傚LNS的做法在OP全局原則的最後部分人為加上「Block all UDP」、「Block all incoming TCP」、「Block all outbound TCP」等規則，事實上只要你的電腦沒有作為區域網路網路閘道（由於全局原則優先等級>允許NAT資料包，在這裡Block的話將導致你的子網客戶端機無法連網），這些操作完全可以用選取多數攔截的工作模式來替代。

綜上所述，從產品的種種細節和特點來看，OP與LNS可能分別代表了防火牆產品未來演變的兩種趨勢：
OP立足於功能的拓展以及安全工具的整合，意圖以強大的功能、一站式的全面服務來獲取更多的用戶；而LNS則拋棄一切去追求其嚮往已久的「反璞歸真」，努力為用戶提供最節省資源最穩定靈敏的防火牆核心。


OP的做法勢必導致程序佔用資源的增加以及使用上的繁雜，而LNS劍走偏鋒的簡約化路線則不利於用戶對情況的全面掌握——事實上，LNS的應用程式原則就遠不如OP的直觀和全面，很容易讓人產生用WhoisConected做輔助的衝動。


當然，縱觀天下之事，凡有得亦必有失，只是如何善用中庸之道以實現多方的平衡，這實在是值得我們大家去思考的一個問題。希望OP與LNS能夠不斷朝著正確的方向發展，給我們帶來一次又一次的驚喜！