本帖最后由 驭龙 于 2024-9-11 15:04 编辑
众所周知,Avira免费版已经功能齐全了,Avira Pro版本只是多了NetProtection和高级勒索软件防御,以及一个看上去十分鸡肋,食之无味弃之可惜的防火墙功能。
那么,问题来了,Avira的Firewall真的是个一无是处的鸡肋功能吗?那为什么Avira会把firewall功能放在PRO版本上,free上只是个调用Windows firewall的工具呢?
本帖,我就来水一水,Avira免费版没有的功能firewall,先从官方的介绍来看看,Avira官方对自家firewall的描述:
ADVANCED FIREWALL
Additional protection against intruders and suspicious network traffic.
Avira Firewall (Windows feature)
Since your Windows computer’s pre-installed firewall only offers protection against certain types of vulnerability, we have integrated the Avira Firewall into Avira Antivirus Pro. It’s an extra layer of security that complements your built-in Windows firewall, making your device more secure.¹ It’s designed to monitor programs and block potentially risky applications before they can cause any harm. This includes suspicious and unauthorized applications trying to share your personal information. The Avira Firewall helps you protect your computer from intruders and attacks on your system, and notifies you when an attack has been repelled.
高级防火墙
针对入侵者和可疑网络流量的额外保护。
Avira 防火墙(Windows 功能)
由于您的 Windows 计算机预装的防火墙仅针对某些类型的漏洞提供保护,因此我们已将 Avira Firewall 集成到 Avira Antivirus Pro 中。它是对内置 Windows 防火墙的额外安全保护,使您的设备更加安全。它旨在监控程序并在潜在风险应用程序造成任何损害之前阻止它们。这包括试图共享您的个人信息的可疑和未经授权的应用程序。Avira 防火墙可帮助您保护计算机免受入侵者和系统攻击,并在攻击被击退时通知您。
关键信息在下面这段话:
Avira Antivirus Pro isn’t just a firewall; it’s a multi-layered antivirus program that helps protect your devices and data from online threats on multiple levels. In addition to real-time protection, web protection, email protection, and advanced ransomware protection, Avira Antivirus Pro features the Avira Firewall, which complements your Windows device’s built-in firewall and helps to make your computer even more secure.¹
¹ The Avira Firewall works independently, in other words without activating Windows’ pre-installed firewall.
Avira Antivirus Pro 不仅仅是一个防火墙;它是一个多层防病毒程序,可帮助保护您的设备和数据免受多个级别的在线威胁。除了实时保护、Web 保护、电子邮件保护和高级勒索软件保护外,Avira Antivirus Pro 还具有 Avira 防火墙,它与 Windows 设备的内置防火墙相辅相成,有助于提高您的计算机安全性。
¹ Avira 防火墙独立工作,换句话说,无需激活 Windows 预装的防火墙。
要知道大多数第三方防火墙都是依托于Windows firewall的,安装第三方防火墙以后,WF会显示被XXXX防火墙托管,而Avira的说法是,他们的firewall是不依托于WF的,这在当前的环境中是不多见的了。
安装Avira Pro以后,Windows安全中心显示,WF和Avira firewall是双开的,没错,安装了小红伞专业版,系统就是防火墙双开,目前没发现冲突。
EP SDK更新到1.0.2409以后,安全中心注册的Avira防火墙,变成英文firewall tools了,之前是中文的,出小BUG了。
而官方在OEM介绍中,提到他们的防火墙是包含轻量级入侵检测系统的,这也就是Avira UI防火墙中显示的入侵者防护IDS功能,但是这是轻量级的,与Avira东家的IPS还是没法比。
Enhanced Firewall
Built-in firewall adds application layer filtering and lightweight intrusion detection and protection capabilities.
增强型防火墙
内置防火墙增加了应用程序层过滤和轻量级入侵检测和保护功能。
我在本地没有发现Avira的独立IDS特征库,因此其规则内置在firewall动态链接库中,所以Avira firewall的动态链接库才那么大?
实际上firewall的IDS应该是一个非常简单的端口扫描防御类IDS,也就是检测一下扫描系统端口的外部设备,不过值得注意的是,firewall是有云信誉的,不清楚IDS是否调用云中的IDS规则,由于是水帖,我就没有更进一步的分析,只是简单的测一下Avira firewall是否真的比Windows firewall好用一些?
我在另一台电脑上使用工具扫描我这台新电脑,嗖的一下,Avira IDS功能出现了,防火墙提示有入侵,并且阻止该IP五分钟。
在防火墙的入侵者防护中,可以看到详细的入侵信息。
二次受到扫描工具的扫描攻击,Avira直接怒了,提示我当前网络存在风险,我选择阻止,Avira并不会断开当前的网络,而是默认在一天的时间内静默阻止该网络的其他设备扫描,也就是短暂进入拒绝模式,不过正常的上网活动都一切正常,网络并未受到影响,Avira只是在一天内不再继续提醒有设备入侵,直接默认阻止。
虽然说Avira firewall的IDS是轻量化,只能阻挡基本的端口扫描和一些协议检测,但这起码还算是有一点用处,感觉比单独用WF功能更多。
这是IDS阻止入侵者IP的日志内容:
2024/09/10 22:05:05.852 [IDS/3130] New IDS rule for 192.168.124.2. RuleId:"{043FC6A4-3E02-489C-88CA-F8325633AEED}", Action:3
2024/09/10 22:05:05.865 [IDS/3130] Port scan blocked from 192.168.124.2:{ 62158->111 (weight:143), 62158->22 (weight:250), 62158->23 (weight:250), 62158->21 (weight:250), 62158->993 (weight:250) } for 5m
2024/09/10 22:22:14.588 [IDS/05c4] Remove IDS rule "{C14313BC-BD02-401E-9218-32AB2925DD8B}" for 192.168.124.2, Action:3
2024/09/10 22:22:20.174 [IDS/42d4] New IDS rule for 192.168.124.2. RuleId:"{FAB23A32-E933-49CE-9017-87286A64B2B3}", Action:3
2024/09/10 22:22:20.174 [IDS/42d4] Port scan blocked from 192.168.124.2:{ 54201->4045 (weight:143), 54201->3517 (weight:143), 54201->912 (weight:143), 54201->5000 (weight:143), 54201->2007 (weight:143), 54201->10616 (weight:143), 54201->648 (weight:143) } for 5m
至于IDS究竟有多少特征或者规则,目前,我还不清楚,但最基本的一些端口扫描类型还是支持的,就是不知有没有针对漏洞利用级别的特征规则,等以后有机会在慢慢确认吧。
最后说一句,Avira的Firewall内置IDS也就是最基本的端口扫描防御,以及黑名单拉黑,一些基本功能,指望它抵御漏洞利用的入侵,那基本无望,毕竟只是最简单的IDS,可能都比不上隔壁的IDS强大,不过能有个IDS也不错了,起码看到了Avira的改变。
另外今天下午,Avira EP版本从1.0.2408更新到1.0.2409版本,我完全没察觉到,更新十分顺畅,对用户一点影响都没有,更新了什么?没更新日志,我也不知道更新了啥。
|