查看: 2560|回复: 26
收起左侧

[讨论] 水水更健康,再水一帖【Avira PRO版的防火墙没啥用?毫无存在感?】

[复制链接]
驭龙
发表于 2024-9-10 23:37:40 | 显示全部楼层 |阅读模式
本帖最后由 驭龙 于 2024-9-11 15:04 编辑

众所周知,Avira免费版已经功能齐全了,Avira Pro版本只是多了NetProtection和高级勒索软件防御,以及一个看上去十分鸡肋,食之无味弃之可惜的防火墙功能。

那么,问题来了,Avira的Firewall真的是个一无是处的鸡肋功能吗?那为什么Avira会把firewall功能放在PRO版本上,free上只是个调用Windows firewall的工具呢?

本帖,我就来水一水,Avira免费版没有的功能firewall,先从官方的介绍来看看,Avira官方对自家firewall的描述:
ADVANCED FIREWALL
Additional protection against intruders and suspicious network traffic.
Avira Firewall (Windows feature)
Since your Windows computer’s pre-installed firewall only offers protection against certain types of vulnerability, we have integrated the Avira Firewall into Avira Antivirus Pro. It’s an extra layer of security that complements your built-in Windows firewall, making your device more secure.¹ It’s designed to monitor programs and block potentially risky applications before they can cause any harm. This includes suspicious and unauthorized applications trying to share your personal information. The Avira Firewall helps you protect your computer from intruders and attacks on your system, and notifies you when an attack has been repelled.
高级防火墙
针对入侵者和可疑网络流量的额外保护。
Avira 防火墙(Windows 功能)
由于您的 Windows 计算机预装的防火墙仅针对某些类型的漏洞提供保护,因此我们已将 Avira Firewall 集成到 Avira Antivirus Pro 中。它是对内置 Windows 防火墙的额外安全保护,使您的设备更加安全。它旨在监控程序并在潜在风险应用程序造成任何损害之前阻止它们。这包括试图共享您的个人信息的可疑和未经授权的应用程序。Avira 防火墙可帮助您保护计算机免受入侵者和系统攻击,并在攻击被击退时通知您。

关键信息在下面这段话:
Avira Antivirus Pro isn’t just a firewall; it’s a multi-layered antivirus program that helps protect your devices and data from online threats on multiple levels. In addition to real-time protection, web protection, email protection, and advanced ransomware protection, Avira Antivirus Pro features the Avira Firewall, which complements your Windows device’s built-in firewall and helps to make your computer even more secure.¹
¹ The Avira Firewall works independently, in other words without activating Windows’ pre-installed firewall.

Avira Antivirus Pro 不仅仅是一个防火墙;它是一个多层防病毒程序,可帮助保护您的设备和数据免受多个级别的在线威胁。除了实时保护、Web 保护、电子邮件保护和高级勒索软件保护外,Avira Antivirus Pro 还具有 Avira 防火墙,它与 Windows 设备的内置防火墙相辅相成,有助于提高您的计算机安全性。
¹ Avira 防火墙独立工作,换句话说,无需激活 Windows 预装的防火墙。

要知道大多数第三方防火墙都是依托于Windows firewall的,安装第三方防火墙以后,WF会显示被XXXX防火墙托管,而Avira的说法是,他们的firewall是不依托于WF的,这在当前的环境中是不多见的了。
安装Avira Pro以后,Windows安全中心显示,WF和Avira firewall是双开的,没错,安装了小红伞专业版,系统就是防火墙双开,目前没发现冲突。


EP SDK更新到1.0.2409以后,安全中心注册的Avira防火墙,变成英文firewall tools了,之前是中文的,出小BUG了。


而官方在OEM介绍中,提到他们的防火墙是包含轻量级入侵检测系统的,这也就是Avira UI防火墙中显示的入侵者防护IDS功能,但是这是轻量级的,与Avira东家的IPS还是没法比。
Enhanced Firewall
Built-in firewall adds application layer filtering and lightweight intrusion detection and protection capabilities.
增强型防火墙
内置防火墙增加了应用程序层过滤和轻量级入侵检测和保护功能。

我在本地没有发现Avira的独立IDS特征库,因此其规则内置在firewall动态链接库中,所以Avira firewall的动态链接库才那么大?

实际上firewall的IDS应该是一个非常简单的端口扫描防御类IDS,也就是检测一下扫描系统端口的外部设备,不过值得注意的是,firewall是有云信誉的,不清楚IDS是否调用云中的IDS规则,由于是水帖,我就没有更进一步的分析,只是简单的测一下Avira firewall是否真的比Windows firewall好用一些?

我在另一台电脑上使用工具扫描我这台新电脑,嗖的一下,Avira IDS功能出现了,防火墙提示有入侵,并且阻止该IP五分钟。


在防火墙的入侵者防护中,可以看到详细的入侵信息。


二次受到扫描工具的扫描攻击,Avira直接怒了,提示我当前网络存在风险,我选择阻止,Avira并不会断开当前的网络,而是默认在一天的时间内静默阻止该网络的其他设备扫描,也就是短暂进入拒绝模式,不过正常的上网活动都一切正常,网络并未受到影响,Avira只是在一天内不再继续提醒有设备入侵,直接默认阻止。


虽然说Avira firewall的IDS是轻量化,只能阻挡基本的端口扫描和一些协议检测,但这起码还算是有一点用处,感觉比单独用WF功能更多。

这是IDS阻止入侵者IP的日志内容:
2024/09/10 22:05:05.852 [IDS/3130] New IDS rule for 192.168.124.2. RuleId:"{043FC6A4-3E02-489C-88CA-F8325633AEED}", Action:3
2024/09/10 22:05:05.865 [IDS/3130] Port scan blocked from 192.168.124.2:{ 62158->111 (weight:143), 62158->22 (weight:250), 62158->23 (weight:250), 62158->21 (weight:250), 62158->993 (weight:250) } for 5m

2024/09/10 22:22:14.588 [IDS/05c4] Remove IDS rule "{C14313BC-BD02-401E-9218-32AB2925DD8B}" for 192.168.124.2, Action:3
2024/09/10 22:22:20.174 [IDS/42d4] New IDS rule for 192.168.124.2. RuleId:"{FAB23A32-E933-49CE-9017-87286A64B2B3}", Action:3
2024/09/10 22:22:20.174 [IDS/42d4] Port scan blocked from 192.168.124.2:{ 54201->4045 (weight:143), 54201->3517 (weight:143), 54201->912 (weight:143), 54201->5000 (weight:143), 54201->2007 (weight:143), 54201->10616 (weight:143), 54201->648 (weight:143) } for 5m


至于IDS究竟有多少特征或者规则,目前,我还不清楚,但最基本的一些端口扫描类型还是支持的,就是不知有没有针对漏洞利用级别的特征规则,等以后有机会在慢慢确认吧。

最后说一句,Avira的Firewall内置IDS也就是最基本的端口扫描防御,以及黑名单拉黑,一些基本功能,指望它抵御漏洞利用的入侵,那基本无望,毕竟只是最简单的IDS,可能都比不上隔壁的IDS强大,不过能有个IDS也不错了,起码看到了Avira的改变。

另外今天下午,Avira EP版本从1.0.2408更新到1.0.2409版本,我完全没察觉到,更新十分顺畅,对用户一点影响都没有,更新了什么?没更新日志,我也不知道更新了啥。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2经验 +40 人气 +1 收起 理由
ziqianweiyang + 1 版区有你更精彩: )
白露为霜 + 40 感谢支持,欢迎常来: )

查看全部评分

Im_Zeus
发表于 2024-9-11 16:11:04 | 显示全部楼层
这个信誉是自动更新的吗?那天说了刚装红伞防火墙对带*里联网控制有些滞后,今天又装上发现没有这个问题了,可能是之前网络有问题导致的。然后我又把笔记本装了红伞,结构这个软件信誉变成可信了,台式机还是未知

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
驭龙
 楼主| 发表于 2024-9-11 16:20:01 | 显示全部楼层
Im_Zeus 发表于 2024-9-11 16:11
这个信誉是自动更新的吗?那天说了刚装红伞防火墙对带*里联网控制有些滞后,今天又装上发现没有这个问题了 ...

应用程序规则应该是有本地规则和云信誉规则,正常情况下是设置规则以后,好像不会再反复检测,除非软件发生变化,比如说更新文件或者哈希变化,Avira防火墙才会重新获取该文件的信誉。

你台式机的那个未知文件,你可以把它的规则删除,然后让Avira重新鉴定这文件的信誉,就会采用最新的信誉了
Im_Zeus
发表于 2024-9-11 16:26:57 | 显示全部楼层
驭龙 发表于 2024-9-11 16:20
应用程序规则应该是有本地规则和云信誉规则,正常情况下是设置规则以后,好像不会再反复检测,除非软件发 ...

确实可以了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
驭龙
 楼主| 发表于 2024-9-11 16:30:32 | 显示全部楼层

能帮上你就好

目前来说,Avira是我用过的套装防火墙中比较优秀的了,而且非常简单实用,关键是独立于WF的第三方防火墙,哈哈
Im_Zeus
发表于 2024-9-11 16:43:07 | 显示全部楼层
驭龙 发表于 2024-9-11 16:30
能帮上你就好

目前来说,Avira是我用过的套装防火墙中比较优秀的了,而且非常简单实用,关键是 ...

但是我这边显示Windows防火墙是关闭了的,好像和你不一样啊

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
驭龙
 楼主| 发表于 2024-9-11 17:07:43 来自手机 | 显示全部楼层
Im_Zeus 发表于 2024-9-11 16:43
但是我这边显示Windows防火墙是关闭了的,好像和你不一样啊

在安全中心的设置里,提供者里看一下,难道是我这里出bug了
hansyu
发表于 2024-9-11 17:18:53 | 显示全部楼层
Avira防火墙似乎并不总是拦截未知程序,例如样本区的银狐如果双击过APC,那么防火墙的信誉也会显示信任放行而不是未知提示用户。
驭龙
 楼主| 发表于 2024-9-11 17:29:09 来自手机 | 显示全部楼层
本帖最后由 驭龙 于 2024-9-11 17:30 编辑
hansyu 发表于 2024-9-11 17:18
Avira防火墙似乎并不总是拦截未知程序,例如样本区的银狐如果双击过APC,那么防火墙的信誉也会显示信任放行 ...
毕竟过了云就废了
这货对付银狐和白加黑非常菜
Im_Zeus
发表于 2024-9-11 17:38:00 | 显示全部楼层
驭龙 发表于 2024-9-11 17:07
在安全中心的设置里,提供者里看一下,难道是我这里出bug了

这里Windows防火墙是开启的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-21 23:52 , Processed in 0.154781 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表