|
 |
|
 |
 首页 >> 网络产品 >> 防火墙 |
|
|
| 你的个人防火墙会下岗吗 [防火墙] |
| Techupdate |
| 2005-6-9 10:44:00 文/ |
|
如果你的业务需求迫使你必须要在系统中安装个人防火墙,那么在选择任何第三方防火墙产品前,你应该先考虑一下另一种安全策略。
虽然Microsoft的Windows系统总是存在这样那样的漏洞,需要用户不断打补丁,不过在WinXP中,内置的防火墙已经从玩具变成真正有用的技术了。现在也到了市场上剩余的几家个人防火墙产品供应商,如Zone Labs,该考虑更长远的市场策略了。目前在个人防火墙产品这个领域的厂商,包括比较大型的Symantec和McAfee,以及一些小型的厂商,如Zone Labs、Sygate、Internet Security Systems(BlackICE的作者)以及Panda Software,它们都会因为Windows内置防火墙功能的日益强大而受到影响。
历史回顾
在上个世纪九十年代中期,微软Windows系统的内存管理问题非常严重。由此出现了一批第三方的内存管理产品,如Quarterdeck的QEMM-386、Qualitas的386MAX以及Helix的NetRoom。不过由于当时的Windows系统非常脆弱,任何微小的操作系统变化(如升级)或者安装新的第三方软件产品,都会使系统变得非常不稳定,同时迫使第三方的内存管理软件必须重新修改以达到原有的性能平衡。在那个年代,IBM的OS/2系统被认为是在技术上远优于Windows的图形界面操作系统。这使得微软意识到内存管理任务必须由自己的系统来完成,这个决定最终导致了第三方内存管理厂商的灭亡。
在Windows内置了与QEMM/386MAX/NetRoom相似的内存管理功能前,微软曾经将Helix的NetRoom包含在Windows中,不过后来它还是决定独立进行内存管理软件的开发。我曾经问过Qualitas的CEO Mary Stanley,如果微软自己开发内存管理软件,那么你的公司以后该怎么办。我记得她的脸色一下子就变得很难看,不过她还是很有信心的说她的公司在内存管理方面会永远走在微软前面。
快速前进
不管当时MaryStanley对她的公司抱有多大希望,现在那些公司都已退出了历史舞台。看看现在的个人防火墙市场,我们会发现它和当初的内存管理市场是多么相似。
对于桌面应用的Windows来说,根本无法与采用了企业级防火墙设计的Linux相比。不过由于上世纪九十年代中期,微软已经开始自行研发内存管理系统,因此到现在,公司的大部分力量都可以用来处理与安全相关的问题了。通过在XP中内置自行研发的互联网连接防火墙(ICF),微软成功的绕过了集成NetRoom等第三方厂商的防火墙产品带来的诸多不便。而在XP Service Pack 2中集成的互联网连接防火墙(简称Windows Firewall),在功能上已经接近了目前不少成熟的个人防火墙产品,如ZoneAlarm 以及 BlackICE。
虽然我可以肯定很多个人防火墙厂商的老板都在私下里对微软这种大力发展Windows防火墙的做法跳脚痛骂,但仍有一部分厂商对微软的ICF不予理会。Zone Labs市场部副经理Fred Felman说:"必需(开发并集成防火墙)和有能力是两个不同的概念。如果了解网络你就会发现Windows新的防火墙有些眼高手低(over-promises and under-delivers)。可用性、功能性以及安全性都存在问题。"
他还说,就算微软的Windows首席产品经理Greg Sullivan有意降低大家对Windows防火墙的期望,"它仍然比预期显得初级"。不过与1.0版的防火墙相比,SP2集成的防火墙产品进步了很多。虽然目前它可能还不能动摇市场上成熟的个人防火墙产品,但随着它的发展,第三方厂商肯定会为此失掉不少市场。比如,不论是使用网络登录脚本还是活动目录的企业,都会发现新的Windows防火墙中具有少量的集中管理功能(这是一些更高级的第三方产品才有的功能)。
据Sullivan表示,SP2中的新防火墙和其它一些安全配置可以加强网络的安全并预防缓冲溢出,同时SP2还可以提供更安全的电子邮件和及时消息服务,为Windows增加了很多以前并不具备的安全功能,而不需要安装任何第三方的安全软件。
而Internet Security Systems(ISS,个人和企业级桌面防火墙产品制造商)研发部经理Dan Ingevaldson表示,"微软的防火墙产品将如何影响个人防火墙产品供应商,这是个问题。同样的问题发生在他并购了罗马尼亚的反病毒技术开发商GeCad后。这种\'vanilla\'式的个人防火墙是危险的开始。它使得技术慢慢消失。实际上,它只需要第三方防火墙产品功能的95%就足够了。"
Ingevaldson表示,一些技术不成熟的个人防火墙和反病毒厂商会为此大为担心,但ISS还不会。据他所知,即将面世的Windows防火墙是默认开启的,采用向导方式进行配置,并改良了帮助信息。Ingevaldson认为微软新的防火墙可能会对ISS的BlackICE PC Protection市场有所冲击,但并不会影响企业级的防火墙产品,如ISS的RealSecure Desktop。
和防火墙产品不同,微软看来为第三方的反病毒厂商留下了不少空间。作为SP2的一项安全措施,它可以检测工作站上是否安装有任何第三方的防火墙和反病毒产品。不过有消息说,微软要求反病毒厂商都要支持一个标准的、类似API的功能,使得操作系统和其它软件(应用程序、网络接口、管理控制台等)获取系统防护状态等信息。
Ingevaldson认为ISS在企业级应用上有较大优势,在企业中,大部分应用都要求深度集成,并且还需要进行集中管理,这方面ISS目前比微软的新版防火墙领先很多,而像Zone Labs甚至Symantec这样的厂商就不太乐观了。他说"微软的防火墙产品并没有触到我们的底线,因此ISS并不担心。"
不过我并不非常认同Ingevaldson的观点。当安全计算深入人心的时候,目前针对微软系统的脆弱性而发起的看上去无止境的攻击将变得越来越少。如果有人希望微软会由于它的信任计算而变得不思进取,那他就错了。因为微软的野心决不仅仅如此,他要打败Linux、Unix以及其它所有潜在对手。虽然微软的Sullivan没有讲到SP2之后的计划,但他表示"可能和很多人想的不一样,(微软)非常有野心。我们会让我们的产品更加优秀,足以打败其它厂商。"
安全解决方案供应商Panda Software的CTO Patrick Hinojosa认为Windows Firewall具有一定的性能,并且微软还会对不足之处进行改进(也许不是很快)。Panda的主要产品是反病毒软件,但它的两个产品Platinum Seven 以及Internet Security都包含防火墙。Hinojosa告诉我,"看了SP2的内容和说明,我觉得可以将Windows防火墙作为我自己的个人防火墙。"他表示,由于Windows防火墙具有了个人用户所需的基本功能,因此肯定会对第三方防火墙厂商造成冲击。不过他并没有贸然评论Windows防火墙现有的功能是否会迫使Panda在它自己的产品中去掉防火墙功能。
ISS的Ingevaldson问我,微软是否会将市场的部分份额留给那些小型的专注于安全的软件厂商。我的回答是:微软也许不会像独立的开发商做的那么好,但他最终会提供足够用的产品。
我之所以说最终,是因为在SP2中的新版Windows防火墙还欠缺一些第三方厂商的产品所拥有的功能,比如输出过滤。输出过滤是个很重要的功能,它能避免已经遭到侵害的电脑将有问题的代码(比如蠕虫)发给网络上的其它电脑。
在最近的RSA会议上,SP2所遗漏的功能令人吃惊,不过比尔盖茨却强调,对输入数据的检测才是企业安全最重要的因素。SP2中加入了对输入数据的检测,它使得在默认状况下,IE或Outlook系统不会下载或运行来自不受信站点的文件。
比如,当邮件中带有可执行文件,而这封邮件来自不受信的"互联网区域"(默认情况下不受信),SP2中的技术会禁止用户打开这个文件。由于很多病毒的传播方式都是通过邮件附件的形式(如Sobig),因此这类检测可以有效地在用户双击邮件附件后防止病毒的感染和传播。但是,病毒仍有可能突破这第一道防线。设想一下,如果病毒邮件被企业的某个工作站接收,而很多访问这个工作站的远程访问用户和移动用户并不都处于防火墙之下,这些用户可能通过某种途径打开带有病毒的邮件激活病毒,而这个工作站的受信资格将使得SP2的检测技术忽略对它的审查,从而使得来自这个服务器的病毒文件可以四处传播。
盖茨对检测的描述让我们知道,微软提供的技术对于企业安全来说,和其它防火墙产品所提供的功能并没有什么区别。事实上,通过对Protego Networks业务开发部副经理Chris Blask的采访使我了解了一个带有检测动作的可以自动响应的网络是阻止网络堵死的关键。
微软的Sullivan说目前还没有计划在Windows Firewall中加入流出数据的过滤功能。这是个严重的错误。这对于微软信任计算的第一步来说,并不是一个好的开始。当我在刚才讲述这种失误带来的威胁时,也许真正的灾难就已经从一个受信的资源传播开了。Sullivan也承认微软会对这种情况作出考虑。
如果微软真的像Sullivan所说的那样是个野心家,那么他一定会对SP2中的这些疏漏作出很好的反应。到时候,在内存管理领域的历史也许又要重演了。
·IT产品报价大全 |
|
|
|
|
|
|
 相关文章 |
|
|
|
|
 |
|
 |
|
|
