1   1  /  1  页   跳转

[转载] 国内软件防火墙简析——瑞星篇

国内软件防火墙简析——瑞星篇

转载:http://news.newhua.com/news1/Eval_Virus/2009/124/0912410255D4C2KHDJ4EK1CA1DCC22D1H4997KG2F078774D4I4JEGG_2.html?lt=common


国内防火墙的性能怎么样一直是网友很关注的问题,这里将对国内防火墙的性能作简单评析,以备用户选用防火墙时候参考,特供初级用户。老鸟及技术达人等,可飘过,无视此文!下面就来看看瑞星防火墙的能力怎么样?
软件信息


  
  (图:1)
  瑞星就不用多介绍了,国内老牌的安全软件厂商。瑞星个人防火墙2009下载版具有一下功能:网络攻击拦截,入侵检测规则库每日随时更新,拦截来自互联网的黑客、病毒攻击、包括木马攻击、后门攻击、远程溢出攻击、浏览器攻击、僵尸网络攻击等。


(图:2)
软件下载
瑞星官方网站:点此进入
华军软件园:点此下载
  
软件安装和设置
运行瑞星的安装程序,弹出安装界面如下。

  (图:3)

  选择好安装语言后,点击“确定”以便进行下一步安装。下面是安装协议,点击“下一步”,接受最终用户许可协议。随后,定义安装方式,可选“全部安装”或者“最小安装”。


(图:4)

  点击“下一步”选择安装路径,如果不想安装到默认路径,可点击“浏览”安装到指定地方。
  
  

  (图:5)

  随后会弹出网络程序设置,点击“确定”即可。


(图:6)

  再下面则是暂时中断网络连接的警告,点击“确定”。


(图:7)

  待安装完成后,点击“完成”以便对系统安全进行检查。


(图:8)

  下一步则是IP地址的确认。


(图:9)

  下一步是网关和MAC地址静态绑定、ARP欺骗防御,建议局域网用户启用,非局域网用户不必启用。


(图:10)

  下一步是密码设置和帐户模式选定,建议设置以增强系统安全。


(图:11)

  至此,整个安装和结束终告结束。
规则设置

  瑞星防火墙的规则定义采用向导模式。选项比较完善的。同时,瑞星防火墙还为不同的工作模式(如锁定模式、交易模式等),提供了不同的访问策略。


(图:12)



(图:13)

ShieldsUP! 测试
  这里设置瑞星防火墙的工作模式为常规模式,账户为管理员模式,安全级别为高,来看看ShieldsUP! 对装有瑞星防火墙个人版的系统的检测结果。
File sharing(共享文件)
  ShieldsUP! 对File sharing(共享文件)的扫描结果是:你的互联网链接139端口似乎不存在……无法获取你的电脑上的NetBIOS信息。


(图:14)

Common ports(通用端口)
  Common ports(通用端口)检测扫描的端口包括:0, 21-23, 25, 79, 80, 110, 113, 119, 135, 139, 143, 389, 443, 445, 1002, 1024-1030, 1720, 5000扫描的结果是:PASSED,端口全部隐藏。


(图:15)
 
  扫描报告见下图。


(图:16)

All service ports(所有服务端口)
  All service ports(所有服务端口)的检测结果是:PASSED,全部隐藏!


(图:17)
  扫描报告见下图。


(图:18)

反弹链接测试

  反向连接也被称为反弹式连接,是为了突破防火墙保护而形成的一种网络连接方法,这种连接方法现在被广泛的应用于各种木马后门程序当中。由于防火墙规则通常禁止由外网向内网的网络连接但是却允许从内网向外网发起连接,所以很多恶意程序通过监听特定端口并使目标计算机主动连接自己的方式使防火墙保护失效。

  这里选用GRC公司出品的leaktest来测试一下瑞星防火墙。

  运行leaktest提示有未知风险程序运行,并予以拦截。


(图:19)



(图:20)

ARP攻击

  对局域网用户来说ARP攻击防护很重要!下面就简单地来测试一下瑞星防火墙的ARP防护能力怎么样!这里选用的测试软件是:网络执法官,主要目的是用于攻击,破坏正常的网络通信。

  设定每秒一次的攻击频率,开始攻击。


(图:21)

  系统显示受到IP冲突攻击,但是,瑞星没有报警。


(图:22)



(图:23)

  日志记录也是空白,共计0项共计事件。


(图:24)

  对这个结果有点汗!
自保护测试

Taskkill命令
  Windows 2000/xp/2003系统中自带了Taskkill命令,使用它可以结束一个或多个任务或进程,Taskkill可以根据进程ID或者图像名称来结束进程。

  使用Taskkill命令来结束瑞星的进程来看看,瑞星具体有几个进程未知,我认识的4个进程拿来当小白鼠实验一下。这4个进程分别是:rfwsrv.exe、rsnetsvr.exe、ravtask.exe、rstray.exe
  
按照进程名终止程序
  结果,瑞星的4个进程rfwsrv.exe、rsnetsvr.exe、ravtask.exe、rstray.exe被轻易终止掉,防火墙崩溃了,o(╯□╰)o


(图:25)


  (图:26)

  重启瑞星后,瑞星防火墙的所有状态都关闭,监控中心的图标也灰掉了。


(图:27)



(图:28)

按PID号终止进程
  按进程号终止瑞星4个进程的PID号,3个被成功终止,ravtask.exe PID号368无法终止。


(图:29)

ntsd -t -s -pn 进程名
  这是经典的一个结束进程方法,在使用该指令后,rfwsrv.exe无法终止。


(图:30)

  rsnetsvr.exe使用该指令也无法终止。


(图:31)

  ravtask.exe和rstray.exe同上,也无法被终止。
  
Ntsd -c -q -p pid
  结束进程864、1900、368、988均告失败!


(图:32)



(图:33)

总结:

  虽然瑞星防火墙宣称2009个人版具有网络攻击拦截,入侵检测规则库每日随时更新,拦截来自互联网的黑客、病毒攻击、包括木马攻击、后门攻击、远程溢出攻击、浏览器攻击、僵尸网络攻击等功能,但是,给小编的感觉远远不及瑞星全功能安全软件2009进步的大!瑞星全功能安全软件给用户带来的耳目一新的感觉,而防火墙则给人改进不大的感觉!这一感觉特别明显地方是瑞星对于ARP攻击的防护,此外软件的自保护能力也不是令人太放心!希望后续版本能够给人带来耳目一新之感!



用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; 360SE)
分享到:
gototop
 

回复:国内软件防火墙简析——瑞星篇

该用户帖子内容已被屏蔽
gototop
 

回复: 国内软件防火墙简析——瑞星篇

似乎ARP的防御老问题 瑞星还是没解决
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT