本帖最后由 12973 于 2013-10-2 20:16 编辑
3.
之前,当客户安装趋势科技互联网安全(TIS)或趋势科技网络安全专家(TIS-PRO),趋势科技个人防火墙(TMPF)启用,Windows防火墙默认情况下禁用。虽然这有一定的优势(趋势科技管理所有网络安全),但无论是从技术和用户的角度来看,它也有一些缺点:
‧TMPF增加系统资源的占用。虽然Windows防火墙关闭,但Windows防火墙组件仍然存在于内存中。
‧TMPF弹出一些消息混淆天真的用户,讽刺的是這让他们接触到更多的威胁(如当他们点击“允许” 改变系统,他们不应该有)。
除了这些缺点,TMPF和Windows防火墙的比较显示,Windows XP SP3的用户在特定情況似乎有减弱的保护网络,而Windows Vista和Windows 7用户也受到了影响,虽然程度较轻。
注:下表只涉及到我们讨论最相关的防火墙组件。并非所有的防火墙功能在表中列出。 Trend Micro Internet Security Pro 2010 | Windows防火墙 | 防火墙助手和互补性保护 | 防火墙功能 | TrendMicro Internet Security/Pro2010 | Windows XP SP3 防火墙 | Windows Vista 防火墙 | Windows 7 防火墙 | | 位置变化检测 | √ | | √ | √ | | 防火墙配置文件概念 | √ | | √ | √ | | 应用程序过滤器 | √ | | √ | √ | | 入站防火墙规则 | √ | √ | √ | √ | | 出站防火墙规则 | √ | 部分* | √ | √ | | 我的家庭网络 | √ | | | | | 支持IPv6 | √ | M | √ | √ |
| 防火墙功能 | Trend Micro Internet Security/Pro2010 | Windows XP SP3 防火墙 | Windows Vista 防火墙 | Windows 7 防火墙 | | 网络级漏洞/入侵侦测** | √ | T1 | T1 | T1 | | 入侵检测系统 | √ | T1 | T1 | T1 | | 主动僵尸网络护*** | | T1 | T1 | T1 | | 互补/补充的保护 | 互补/补充的保护 | 互补/补充的保护 | 互补/补充的保护 | 互补/补充的保护 | | 互联网和电子邮件控制 | √ | T2 | T2 | T2 | | 行为监控** | √ | T2 | T2 | T2 | | 浏览器漏洞解决方案** | | T2 | T2 | T2 |
题解:
*一些出站保护是通过趋势科技提供的代{过}{滤}理(TmProxy);见章節3
**趋势科技2012版增强的功能
***趋势科技2012版新增的功能
√=功能可用
M =不存在Windows防火墙中,但可以从微软中额外安装
T1=不存在的Windows防火墙中,但防火墙的助手提供这功能
T2=不存在Windows防火墙中,但趋势科技2012版会额外补充保护
|
为了解决这些缺少的功能,趋势科技2012版的“防火墙助手”和其他与网络相关的安全性增强,也补充及增強Windows防火墙的保护,这本白皮书在第3节,我们将讨论。对于那些不会补充,它提供了以下评估和补救措施特别是Windows XP SP3的用户。
位置变化检测 为了达到更好的保护,当用户上不同的网络(通过不同的网络漫游),TIS/ TIS-PRO TMPF实现“位置变化检测”正确地识别用户的电脑连接到物理网络环境。 TMPF通过这样做,可以针对不同的网络环境设置不同的防火墙规则。例如,在公共Wi-Fi网络环境,TMPF可以禁”file sharingrelated”的网络端口,以更好地保护用户。
Windows Vista和Windows7提供了家庭,工作,公共和区域网络位置的设置,调整你连接到的网络类型。 在WindowsXP SP3的Windows防火墙并没有提供一个位置变化检测功能和虽然它不提供一些位置意识(如网络接口卡(NIC)和IP地址检测),这些不能被充分利用在Windows XP的无规则结构,把它们应用到防火墙引擎中。也就是说,WindowsXP笔记本电脑的用户他们走出办公室時,可以选择“harden”的防火墙规则,选中“不允许例外”的额外安全功能。此外,用户使用趋势科技获得额外的保护,通过区域信誉服务趋势科技云安全智能防护网络(SPN)的基础设施,好和坏的领域保持到最新的数据库。最后,趋势科技也提供了一个Wi-Fi保护功能,潜在不安全的无线网络或热点连接时会显示警告。
摘要:移动用户的Windows XP没有位置变化检测,而是结合本地,但趋势科技技术可以解决这个问题。 补救措施:运行WindowsXP笔记本电脑的用户可以“harden”默认入站防火墙及不允许例外,旅行时使用Wi-Fi连接的限制。此外,趋势科技的云安全智能防护网络(SPN)的区域信誉服务增加了一个额外的保护层,检查及阻止坏的。最后,趋势科技的用户也得到一个额外的Wi-Fi保护层:当用户尝试连接到不安全的无线网络或热点,将会发出警告。
防火墙配置文件概念 如上所述,TMPF提供的能力来检测位置的变化。TMPF然后实现TIS/ TIS-PRO的“防火墙配置文件”的概念,通过防火墙规则(所谓的“防火墙配置文件”)与网络位置的一组相关联,实现自动定位感知防火墙保护。因此,防火墙的配置文件(如“直接连接网际网路”,“家庭网络”,“办公网络”,等等)代表一组“防火墙规则”,用户可能设置,當新的网络位置被检测到,就会自动开始发挥作用。 TMPF还结合“防火墙配置文件的概念”与“安全级别”(最大,中,低和最低),大大简化了配置的努力,当用户调整防火墙的强度。例如,用户可能会设置的安全级别为“最大”,“互联网直接连接”防火墙配置文件。 在Windows XP中的Windows防火墙不支持此功能,虽然它在Windows Vista和Windows7,通过它的UI 。例如,选择“具有高级安全性的Windows防火墙”,在Windows Vista或Windows 7的系统管理工具带来了一个窗口,添加和管理高级防火墙设置,如入站/出站规则,连接安全规则,然后将它们应用于域,私人,或公共配置文件。
摘要:移动用户的Windows XP没有位置变化检测,而是结合本地,但趋势科技技术可以解决这个问题。 补救措施:这种情况与上面几乎是相同的。
应用程序过滤器 一般来说有两种类型的防火墙规则,提供现代化的防火墙(包括TMPF的Windows XP SP2,Windows Vista,Windows7的防火墙): 1)网络五个组合的防火墙规则(网络协议,源IP,目标IP,源端口,目标端口)。 2)程序控制防火墙规则(或所谓TMPF应用过滤器)。 对于不那么精通技术的用户,TMPF“程序控制”防火墙规则更容易理解和设置比Windows防火墙规则TMPF应用过滤器,同时也触发系统托盘弹出窗口来通知用户有一个应用程序试图连接(出站数据包)或绑定(入站数据包),网络协议栈(TCP / IP)。不幸的是,后者的特征不再被认为是有效的,因为它依赖于用户的决定,而允许/阻止的应用程序,但大部份用户将只选择允许连接。TMPF出站应用程序过滤器不再被认为是有效的,因为大部分的恶意软件实际上是使用的Windows组件作为代{过}{滤}理,重定向到他们的对外交通。根据趋势科技的内部报告,当今最著名的目标是Internet Explorer和svchost.exe,IE浏览器本身就需要出站42%的流量。因此,决定默认在Windows防火墙中的应用程序过滤功能为更有意义,尤其是对Windows Vista和Windows7,即使Windows XP只提供入站过滤的应用,如FTP应用程序,Internet邮件,网页,和Telnet服务器。 趋势科技地址的重要途径,这个问题是通过防止未经授权的更改模块,从可疑变化的系统保护计算机。它通过监测的可执行文件的行为,通过黑与白的应用程序列表,以及程序的数字证书,从而阻断不良行为。保护用户出境恶劣的行为,如未经授权的“打电话回家”,积极预防这种感染摆在首位。
摘要:在WindowsXP中的Windows防火墙只提供入站的应用程序保护,而WindowsVista和Windows7中的Windows防火墙亦提供入站和出站保护。而趋势科技应用监控亦解决Windows XP的缺点。
补救措施:趋势科技的未经授权更改的防护模块监控在主机系统上的可疑变化,保护用户通过黑/白的应用程序列表和数字证书,在其他功能上的应用层保护最终用户计算机。下面有详细介绍,请参见第二部分。
出站防火墙规则 不同状态的防火墙保护是通过应用防火墙规则的防火墙引擎。(活动的网络配置文件应用防火墙规则)。防火墙规则可以分为连接或方向,如入站规则(传入到PC)或出站规则(从PC传出)。请注意,在Windows XP的Windows防火墙只提供了入站规则,並沒有出站规则,而Windows Vista和Windows7亦同时提供。也就是说,即使Windows Vista和Windows 7的出站防火墙引擎,但其默认的出站防火墙规则是“除了允许所有匹配的规则。” 此外,在Windows Vista和Windows 7的出站防火墙规则並没有默认的“封鎖”,虽然用户可以添加规则改变这种状况。
你为什么要启用一个防火墙的出站保护?答案很简单:防止恶意软件和病毒将机密信息发送到他们的僵尸网络服务器。当后门的蠕虫攻击你的电脑時,他们会窃取你的信息,然后连接及发送数据到一个外部黑客的服务器。启用防火墙的出站连接,出站连接将可防止这些事情发生,从而使您的系统更加安全可靠。 由于在Windows XP中的Windows防火墙不提供出站规则,TMPF可以去除让用户“打电话回家”的恶意软件行为。然而,这种假设的恶意软件已经能够绕过入站防火墙规则了。它可以在消费者的终端机器上,通过Web把电子邮件或文件曝光。幸运的是,趋势科技提供Web的威胁保护(WTP)---Web,电子邮件和文件信誉服务。这些都可以补充趋势科技2012版的保护 和 保护未经授权的更改模块(见下文)。 趋势科技代{过}{滤}理(见第3节以下)可以阻止一些,但不是所有出站请求。它可以阻止任何端口上的HTTP / S,虽然当前的默认实现只使用标准的HTTP/ S的端口,如80,8080,8081,443,等等。 注:一些命令和控制恶意会使用互联网协议而进行通信的服务器。在这种情况下,恶意软件的“手机之家”不会被阻止,而是由趋势科技的Web威胁保护(WTP)。然而,如果指挥和控制恶意软件使用HTTP协议和域/网址是我们的WRS数据库,“手机之家”将被阻止。
摘要:尽管Windows XP的Windows防火墙并不会有出站规则,如果它安装了一个恶意软件, 这可能会允许恶意软件“打电话回家”,Windows XP的用户可以和Windows Vista和Windows 7得到一致的保护,用户通过趋势科技的WTP和行为监控模块。
补救措施:趋势科技的网页威胁防护功能,包括网页,电子邮件,文件和区域信誉服务;和其平均的未经授权的更改预防模块,和先进的技術,可以一起积极主动地防止这种恶意软件感染。因此恶意软件就沒有机会安装和打电话回家了。
支持IPv6 TMPF , Windows Vista和Windows 7防火墙默认情况下支持IPv6。虽然Windows XP防火墙在默认情况下不支持IPv6,但如果从微软裏下载一个单独的防火墙組件,那Windows XP亦能支持IPv6。
总结: Windows XP的Windows防火墙在默认情况下,不支持IPv6。 解决方法:下载并安装微软的IPv6包。
我的家庭网络 TMPF为用户提供了“我的家庭网络”, 家庭网络地图(网络发现)显示在本地网络上所有的计算机,这可以用它来阻止无线网络用户访问网络上任何一台电脑(Wi-Fi保护),或管理和更新这些电脑兼容的安全软件(TIS/ TIS-PRO)(基本远程管理)。我的家庭网络是通过地址解析协议(ARP)广播数据包发送到本地局域网,找出所有相邻的网络设备(包括电脑)。虽然这个功能是不错的,但实际上,用户很少使用它。 Windows XP 的Windows防火墙不也有类似的功能,但Windows Vista和Windows7提供了基本层(仅上述三项功能),可以了解什么是网络上的有效。这是实施网络发现设置,会影响你的电脑是否可以看到或找到其他计算机和网络的设备,反之亦然。网络发现可以开启或关闭,或用户可以定义一个自定义的混合状态,即启用了一些服务,有些亦不启用。只要启用网络发现Windows防火墙的例外和其他防火墙不会干扰它,网络发现状态是有效的,并显示为自定义。
摘要:这是一个“不错”的功能,Windows XP用户没有类似的功能,但该功能用戶平均用得不多。 补救措施:Windows Vista和Windows7可以使用网络基本的洞察力发现家庭网络上的设备和计算机。 | 
发表于 2013-7-19 13:02:21
楼主
