shields up 檢查防火牆是否門戶洞開
https://www.grc.com/x/ne.dll?bh0bkyd2
Gibson Research Corporation公司官网
http://www.grc.com/default.htm
由GRC公司出品的leaktest。而另外一款,则是由Robin Keir出品的firehole。
作为一款防火墙软件,能否有效地抵御各种来自外界的威胁,无疑是我们重点考察的一个项目。为了能让测试结果更加有效,我们参考了真实的网络攻防情况,组建了“端口静默扫描”、“反弹连接测试”、“X-Scan综合扫描”这三组评测环境,以便综合对各款防火墙软件的基本防御能力,进行一番对比。
1.1 端口静默扫描
一般来讲,几乎所有的网络攻击行为,都是针对于特定端口展开的。因此,尽量减少端口在外人眼中的“曝光率”,便是降低电脑受攻击频率的一个最好方法。而这,也就是我们平时所说的“端口静默”。一般而言,端口的状态有三种:开启(Open)、关闭(Close)和隐蔽(Stealth)。其中,“关闭”状态,是我们平时最容易忽略掉的。事实上,对于一名有经验的黑客来说,即使端口处于“关闭”状态,也是可以通过一些特殊的查询实施攻击。因此,要想实现真正意义上的静默,就必须将所有不使用的端口,全部设为“隐蔽”状态。
在检测工具的选择上,我们挑选了时下受欢迎度较高的Shields UP!! 网站。该网站的特点,是能够对0到1055的1056个端口进行扫描,同时以图形化形式,返回各端口的当前状态。不但使用起来非常简便,而且,它的检测精度,也是目前所有在线检测网站中,最全的一个了。
图27 Shileds UP!! 端口检测截图
图28 端口检测结果对比(点击图片看清晰大图)
由于端口检测,大多采用入站流量。因此,端口的扫描屏蔽操作,实际上也可以理解为防火墙防御功能的一个部分。而从测试结果来看,绝大多数防火墙软件,均能有效地完成主机端口的屏蔽。其中,一直不被大家所看好的Windows防火墙,竟然也有出色的表现。而相比之下,江民和卡巴斯基,则在此项设置中略逊一筹。开启防护后,依然还会暴露出大量“非隐蔽(non-stealth)”端口,从而为系统带来更多的安全隐患。
1.2 反弹连接测试
为了绕过防火墙严格的传入连接过滤,很多木马在感染计算机系统后,都会主动向服务器(木马服务器),发出反向连接请求(传出连接)。因此,一款好的防火墙软件,除了要拥有强大的传入连接过滤,还要能够防范这种由内向外发出的不安全连接。而这,就是我们平时所常说的“反弹式连接”。一般来讲,测试反弹连接,主要是通过两大工具。一是由GRC公司出品的leaktest。而另外一款,则是由Robin Keir出品的firehole。
从技术上讲,leaktest和firehole的工作模式略有不同。其中,leaktest只是简单地将数据发送到grc.com,作为最终验证条件。而firehole则更为严格,只有当发出的数据获得正确应答后,才算穿透成功。
图29 Leaktest界面截图(图示为防火墙已穿透!)
图30 Firehole界面截图(图示为防火墙已穿透)
图31 反弹连接测试对比(点击图片看清晰大图)
相比严格的正向防御,大多数防火墙在反向检测上并不强大。从上面的反弹测试可以看出,12款参评防火墙软件中,只有Norman和Jetico能够完全阻止“Leaktest”、“Firehole”的攻击。而其余各款防火墙,要么只能阻止某一测试,要么根本没有提供相应功能。而Windows防火墙中,众所周知的的单向防御缺陷,也在此次评测中表露无遗。
1.3 X-Scan综合扫描
X-Scan是目前使用频率最高的一款综合型扫描软件。能够详细地提供出,被扫描端的操作系统类型、操作系统版本、标准端口状态、端口Banner信息、CGI漏洞、IIS漏洞、RPC漏洞、NT服务器NETBIOS等等信息。因此,接下来,我们也将利用这款软件,对各款参评防火墙,进行一次完整的扫描。
图32 X-Scan扫描中截图
图33 X-Scan扫描结果对比(点击图片看清晰大图)
在X-Scan的扫描结果中,国外防火墙的防御能力明显高于国内防火墙软件。而且,普遍采用的方法,都是直接让被保护机“灭失”(即令扫描工具无法找到存活机)。这样的设计,不但效率较高。而且,还能很好地规避软件设计中可能出现的疏漏。从而在实际应用中,获得最好的效果。
五、 性能影响测试
由于防火墙的技术特点所限,当它运行时,多少都会对网络的性能,造成一定影响。为了能够准确地评估出,各款防火墙软件在不同使用环境下的性能影响情况。我们分别从网络层和应用层这两个层面,开展了如下测试。
1.1 网络层性能测试
在网络层测试中,我们采用的是一款由lxia公司出品的Qcheck软件。作为目前最优秀的性能测试软件,Qcheck 3.0能够非常准确地测量出不同大小的网络封包,在TCP和UDP两种协议下的响应时间和吞吐带宽。其出色的性能表现,更是堪比专业的硬件检测工具。为了能让大家对测试数据有所参考,评测前,我们将首先记录空白系统下的测试成绩。
注:响应时间测试中,我们将采用Qcheck的自动检测机制。每组封包检测10次,取10次的平均值计入成绩。而吞吐带宽测试,则采用手动传输机制。每组封包检测3次,取3次的平均值计入表格。
图34 Qcheck界面截图
图35 响应时间对比(单位:ms)(点击图片看清晰大图)
图36 吞吐带宽对比(单位:Mbps)(点击图片看清晰大图)
随着防火墙过滤能力的提高,要想轻松“穿墙”,已经不是那么容易了。于是,某些木马作者,便想出了一个更为简单的方法 —— 直接中止防火墙软件。于是,防火墙的自我防护能力,也就成为了我们接下来将要考察的一个重点。为了验证各参评软件,是否能够有效地防范恶意中止。我们将分别利用Windows自带的任务管理器和IceSword(冰刃)两款工具,开展中断测试。最终,成绩计入统计表格。
图39 自我保护能力对比(点击图片看清晰大图)
从测试结果来看,各防火墙软件的自我保护能力并不乐观。除“Norman”和“卡巴斯基”以外,其余各款防火墙,均无法同时通过“任务管理器”和“IceSword”的中止测试。很难想像,在遭遇一些恶意木马时,我们的防火墙终究是否真的有能力,继续保障操作系统的安全。
七、 资源占用情况
作为一款电脑软件,资源占用永远都是我们需要关注的一个重点。毕竟,电脑总是拿来用的,如果宝贵的内存,总是被一些辅助工具所占用。那么,在进行一些正常操作时,难免就会出现捉襟见肘的现象。于是,接下来,我们将分别针对各防火墙,在静默运行(未开启主操作面板)和网络传输过程中的内存占用情况进行统计,数据取自IceSword。
图40 资源占用情况对比(单位:KB)(点击图片看清晰大图)