淺析Windows防火牆的缺陷(轉)

RegisterForBlog發表於2007-08-10
淺析Windows防火牆的缺陷(轉)[@more@]

  有這樣一個問題:“我不知道該為Windows伺服器選擇什麼防火牆”。事實上,人們經常就這個問題向我諮詢,然而我自己也沒能找到最好的答案。很多次,即便伺服器處於硬體防火牆保護之內時,我仍然喜歡在伺服器自身上安裝額外的軟體防護。因為有時候,我的伺服器可能位於比較偏遠的地方,沒有硬體級防火牆來保護它們,這時我就得完全依賴於在伺服器上安裝軟體來保證它們的安全。

  

  聽起來,這似乎比較簡單。然而事實上,我一直在用足夠的耐心等待著有一天能夠找到完美的Windows防火牆,這樣我就可以不用跟那些向我諮詢的人解釋為什麼很多時候理想的選擇是部署了Iptables的Linux系統。但是我想我的等待是徒勞的,很多時候我都以為我終於找到了最好的Windows防火牆解決方案,然而那只是我又一次失望的開始。

  

  TCP/IP過濾器的速度的確非常快,但它的優點也僅侷限於此,因為當你使用TCP/IP過濾器時,你肯定還需要新增其他層的保護。

  

  IPSec是不錯的,當你挑選出適用的規則、過濾條款後,你可以透過圖形介面或者命令列介面來設定,但是無論是圖形介面還是命令列介面都容易把人搞糊塗。最後,你終於配置完成,併成功讓它執行起來――這時,你將會發現網路變慢了,因為IPSec過濾“包”的時候,它本身就能讓網路變慢10%~15%。在這裡順便再說說其他令我憎恨IPSec的事情:它是以Windows事件的方式來記錄日誌的――當你想要觀看你的防火牆日誌的時候,你需要點選那些事件日誌,然後找出你想要的東西――這已經足夠讓我放棄使用它了。

  

  Internet Connection Firewall(ICF)在Windows Server 2003中稍微好一點,它有不錯的效能,並且在規則方面有一定彈性。當Windows Server 2003 SP1來到以後,新的Windows防火牆將變得更好。Windows防火牆是個大的進步,而且它具備群組策略。不幸的是Windows防火牆不允許你針對發出端設定任何規則,此外,它還需要開啟遠端管理和通訊服務――這些都是我平時不需要的。

  

  可能有人會問RAS怎麼樣呢?你可能注意到,它具備包過濾功能,並且事實上它還為其他工具提供了不錯的API介面以便對過濾器進行配置。但是,這些過濾器無法控制底層協議,比如ICMP,所以實際上它沒多大用處。

  

  還有許多個人版防火牆可以非常好的執行於桌面系統,但是它們都無法達到伺服器使用者的需要。雖然在它們當中,某些產品明顯超出同類產品的水平,但是所有個人版防火牆的共同的問題是:簡單的記錄工具、緩慢的執行效率,而最糟糕的是,大多數個人版防火牆在資料流通量非常大的時候都有可能造成系統藍色畫面。

  

  個人版防火牆的這些問題源自它們與Windows的結合性上。它們透過多種途徑來擷取資訊包,而這也造成了它們的一些缺陷。某些個人版防火牆產品涉及到攔截系統核心資訊,或改寫硬體驅動的問題。由於這種工作方式,你最好祈禱它們的產品是穩定的,否則將經常看到藍色畫面現象,你瞧,當流通量比較大的時候我們的確經常看到系統藍色畫面。

  

  另一個問題是,由於這些個人版防火牆的工作模式,所以它們通常會發生排斥,所以不要嘗試同時在PC裡安裝兩套個人版防火牆,伺服器也是如此。否則,你可能會遇到一些問題。個人防火牆還不適合無人值守的伺服器,因為大多數個人防火牆在攔截包的時候都會彈出一個對話方塊,讓使用者選擇如何處理/操作。一些防火牆我還發現無法透過系統托盤圖示順利訪問終端業務。

  

  我最後一次以為已經找到了Windows防火牆的最好解決方案是在我嘗試給Windows伺服器安裝ISA Server 2004的時候。讓我驚奇的是,它執行得非常好。它的功能非常完善,在防護範圍方面跟個人版差不多,但它執行更穩定。我發現它只有一個問題:ISA Server 2004的許可授權的價格比伺服器本身還要貴。這使得它很難被使用者接受。

  

  我現在該怎麼辦?我覺得我如果自己花錢購買一個小型硬體級防火牆來保護我的伺服器――僅僅因為我有時要離開它一小段時間――那實在是非常瘋狂的事情。

  

  不是所有的希望都破滅了,至少,微軟正在努力打造一個新的過濾平臺WFP,在不久即將來到的“長角(Longhorn)”系統上。該版本的實際釋出日期可能是在未來的一、兩年裡。WFP是一個整合包過濾技術於作業系統之內的解決方案。

  

  未來,第三方廠商的防火牆很可能只是簡單的接入到WFP體系中,並提供配置規則的功能而已。WFP計劃支援新TCP/IP協議的多個層,並且可以在通訊流被解析之前就進行過濾。WFP甚至還支援IPv6。WFP聽起來不錯,但是它仍然無法在今天就幫助我們,它離我們還有些距離。並且,它是否有效並穩定還需要我們在實際使用中觀察。

  

  你可能認為答案過於簡單了,當然不。這些仍然讓我們感到適當的驚訝。目前,Windows伺服器防火牆完美的解決方案是不存在的。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10763080/viewspace-942401/,如需轉載,請註明出處,否則將追究法律責任。

相關文章