S版的防火墙强吗？

hyxuzhimin

如题。跟KIS的比哪个强一点？

hyxuzhimin

怎么没人回答，难道这贴该发在防火墙区里？

某某猫

一般，不强

踏雪寻梅

强度一般，不过普通用户足够了

周杰伦

比kah弱一些了，所以建议使用别的防火墙吧

hanqiulcc

S版的墙实际上是很弱的，看看最新的防火墙排名就知道了，建议使用P版加上免费的墙Online Amor或者Comodo.

伯夷叔齐

这个问题要看怎么去看了，防外来看，肯定是足够了，就是不知道其是否还是采用的包过滤，如果那样，肯定不算强了，至少不智能，现在所知道的SPI技术的防火墙，有ZA，OP,COMODO，JETICO,费尔（据说费尔有一定缺陷）。。。。其他的就不知道了，大家仅仅从ZA和COMODO来看看其优越的SPI，这是其他采用传统包过滤技术的防火墙所不能比拟的，看看OP2008采用了同样的SPI技术后，有很多问题出现，优越的技术是有相当的难度的，好东西可能需要代价吧。

如果单纯的从防火墙角度和职能来看，那个脍炙人口的反漏洞测试的表现好坏并不能代表真正意义上的防火墙部分本身的强弱，毕竟红伞有强大的病毒的监控和查杀能力，就如同矛与盾，既要想发展最锋利的矛（杀毒能力），又要做最坚实的盾（HIPS反漏洞），怎么可能会两全呢？比如HIPS都把漏洞给挡住了，那么红伞的病毒特征分析师肯定会通过研究这个隐蔽程序的行为,并确定为病毒，或者木马，并加入病毒库，那么在加入病毒库后，如果真遇到这样的病毒和木马，首先红伞就通过病毒特征代码的监控就把它给拦截了，那么又哪儿会给机会给红伞的HIPS去拦截和分析呢？（如果红伞套装部分真有HIPS功能）因为红伞不可能再给这个病毒或木马继续进行行为的机会了。。。如果没有这样的机会，你想想，它的HIPS反漏洞部分会做得到顶尖吗？！这样不是功能重复吗？所以，客观和现实来看，杀毒做得相当出色的安全套装软件，也可以做具有带HIPS功能的反漏洞能力很强的套装，比如KIS，可以做得很好，但绝对不可能做得最好，也没有任何必要做得最好，也许，套装的病毒木马监控能力也就代表了反漏洞能力了。但安全软件的偏执狂们（比如我）就不是太喜欢用安全套装，而更喜欢用强强组合的安全软件DIY方式进行最优组合的原因。。

归结下来，那么我们就可以得出，如果你要看红伞的防火墙是否达到COMODO,ZA那样的强悍，甚至是顶尖水平，你就看红伞的防火墙过滤技术是否采用ZA，COMODO那样的SPI过滤技术就行了，是否是双向过滤的墙就行了，去因为它的反漏洞能力来评价其防火墙的好坏，完全是误导，它只能证明传统网络防火墙外的系统防火墙能力的强弱（系统防火墙是新定义的一个概念，也就是HIPS主机入侵防御系统，非传统意义上的防火墙概念）。。。如果真重视这块，那么你就再加一个功能强大，反漏洞能力优秀的HIPS软件就够了。

真正传统意义上的防火墙的职能：
1、隐藏端口，IP——红伞完全可以做得很好，几乎所有专业防火墙都应该，也能够达到，也可以通过设置端口规则来实现；
2、过滤数据包，分析并阻截有问题的数据包——看其采用什么技术；（甚至是防火墙好坏的分水岭）
3、防DOS洪水暴力攻击；
4、程序出站的过滤，这个属于反泄露部分，大部分防火墙就是从双向过滤，才最终考虑和涉及到HIPS的引入；
5、防火墙抵御攻击记录，阻止数据包记录，记录的细致和精确度，防火墙安全等级划分的细致度，报警提示的危险级别精确度等，也就是防火墙粒度，这样可以供专业用户以更多的分析依据。。。

SPI（Stateful Packet Inspection） 全状态数据包检测型防火墙,是指通过对每个连接信息（包括套接字对(socket pairs)：源地址、目的地址、源端口和目的端口；协议类型、TCP协议连接状态和超时时间等）进行检测从而判断是否过滤数据包的防火墙。它除了能够完成简单包过滤防火墙的包过滤工作外，还在自己的内存中维护一个跟踪连接状态的表，比简单包过滤防火墙具有更大的安全性。
目前最为先进的状态数据包检查(SPI) 防火墙提供最高级别的安全性。它在默认情况下拒绝所有来自外网的请求，并且对通过防火墙的发自内网请求的连接动态地维护所有通信的状态（连接），只有是对内网请求回复的连接并符合已建立的状态数据库的包才能通过防火墙进入内网。这种方案不仅可使网络用户访问Internet 资源，同时又能防止Internet 上的黑客访问内部网络资源。
    “状态检查”一词是指防火墙记忆连接状态和在其内存中为每个数据流建立上下文的能力。凭借这些信息，该防火墙能够比不支持SPI的防火墙作出更有根据的策略决策。
    只有具有基于硬件的采用目前最为先进的状态数据包检查(SPI)技术的防火墙才是真正意义上的防火墙(True Firewall)。

第一代静态包过滤类型防火墙
    这类防火墙几乎是与路由器同时产生的，它是根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。

   第二代动态包过滤类型防火墙

    这类防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。
    包过滤方式的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：过滤判别的依据只是网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC（远程过程调用）一类的协议；另外，大多数过滤器中缺少审计和报警机制，它只能依据包头信息，而不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。

[ 本帖最后由 伯夷叔齐 于 2008-1-4 13:55 编辑 ]

wf200205

应该比不上卡巴的墙!

hyxuzhimin

谢谢7楼大侠细致分析。