瑞星卡卡安全论坛技术交流区系统软件 【转贴】被忽视的防护王者:McAfee Host Intrusion Prevention

1   1  /  1  页   跳转

【转贴】被忽视的防护王者:McAfee Host Intrusion Prevention

【转贴】被忽视的防护王者:McAfee Host Intrusion Prevention

当我们提及 McAfee 时,人们第一时间想到的往往是被誉为防御最强的 McAfee VirusScan Enterprise 及其强大的访问保护规则,而在 McAfee产品系列中与之搭配构建完整安全平台的 McAfee Desktop Firewall 及其升级产品 McAfee Host Intrusion Prevention 却长期被人们所忽视。以至于有一种误解在广泛流传,称 McAfee 的防火墙很一般,真实的情况是这样吗?

  如果我告诉你,被人们普遍推崇的 VSE访问保护规则,在功能实现上其实不过相当于HIP 中 IPS 行为规则的一个子集,HIP 的自定义行为规则签章同样可以编写出 VSE 中你想到的任一保护规则,并在功能上、管理上和例外排除上更强大更方便;此外, HIP 还有着强大到可杜绝一切可疑程序运行的应用程序规则等等超强功能;至于基本的防火墙功能上,即便是McAfee 的家用版桌面防火墙在专业评测中的综合评价尚且多年以来一直名列前茅,就更别提面向企业的 MDF 和具备网络 IPS 的HIP了。看到这些事实的你会不会惊讶得张大了嘴巴呢?

  下面,我就将向你一一阐述比 VSE 更称得上防护王者的 HIP 的超凡之处。

  一、基本的防火墙功能

  权威的评测和媒体 TopTenREVIEWS 在主页右上角有一句话:We Do the Research So You Don't Have To 。意思是说,(专业的)研究让他们(专业机构)去做,我们(普通用户)无须如此。这句话告诉我们,在专业领域要提防那些基于一知半解的错误论点,如同细心的人们在生活、学习和工作中,能发现的存在于初学者、中级人士和经验丰富的专业人士之间的巨大鸿沟。而当你再一次遇到一种论点时,你会理性分析而是草率接受呢?

  我们要评价 MDF 和 HIP 基本的防火墙功能,请先看 TopTenREVIEWS 网站上的几组测试结果和排名:

  2007 个人防火墙测试结果及排名:McAfee Personal Firewall(家用版)排名第6位。
  http://personal-firewall-software-review.toptenreviews.com/  2007 互联网安全套装测试结果及排名:McAfee Internet Security (家用版)排名第2位。
  http://internet-security-suite-review.toptenreviews.com/  2007 杀毒软件测试结果及排名:McAfee VirusScan (家用版)排名第6位。
  http://anti-virus-software-review.toptenreviews.com/  2007 反间谍软件测试结果及排名:McAfee AntiSpyware (家用版)排名第9位。
  http://anti-spyware-review.toptenreviews.com/

  通过这些专业评测,我们看到, McAfee 家用版安全软件在同类横评中都是名列前茅,事实上,多年以来一直如此,McAfee 的品质是毋庸置疑的。



  细心的朋友这时也许会问,以上测试和排名都是针对 McAfee 的家用版本,那属于企业版的 MDF 和 HIP呢?在这里我要说明一下,企业版安全软件一方面固然要考察软件本身的水平,而更重要的是企业安全人员的专业设定和管理水平。MDF 和 HIP 与家用版相比,除多了一些额外的超强功能外,一个重要的差别是强大的可定制性,在经过合适的设置后都是可以做到天网恢恢的。

  二、IPS 行为规则

  仅仅上文谈及的防火墙的基本功能出色,当然还不能说 HIP 是王者,那么令它堪称王者的超凡之处又是什么呢?人们一般有一个共识:防毒最强的杀毒软件是 VSE,因为它拥有强大的访问保护规则,通过内置和自定义的规来实现对指定文件/文件夹、注册表和端口等的保护。而事实上,这些功能在 HIP 的 IPS 中都可以轻易实现,并更强大更方便管理。

  让我们先简略介绍 什么是 IPS。

  IPS 是“入侵防护系统”的简称,它通过设定一些行为规则并以此判断进程的行为或访问网络行为是否可疑,如果违反了指定的行为规则设定,则自动阻止并报警。可以说,行为规则是 IPS 的核心,就如同访问保护规则对于 VSE 的意义。

  以下说明摘自 HIP 7.0 产品指南:

  行为规则:

  行为规则可定义合法活动的配置文件。与配置文件不符的活动会触发事件。例如,您可以设定一个规则,声明只有网页服务器处理程序才可以存取网页档案。如果其他处理程序尝试存取网页档案,此行为规则便会触发事件。

  Host Intrusion Prevention 结合了签章规则与硬件连接行为规则的使用。这种交互式的攻击识别方法可侦测到大多数的已知攻击,以及先前未知的攻击或零时差攻击。

  IPS 规则原则包含三种签章类型:

  主机签章:主机型的入侵防御签章 (HIPS) 可侦测并防止系统作业活动攻击,包括档案、登录、服务与 HTTP 类型等规则。它们是由 Host Intrusion Prevention 的安全性专家所开发,并与产品同时发布。

  自定义的主机签章:自定义签章是主机型签章,您可以针对自己的需求建立签章以提供额外的保护。例如,当您建立重要档案的新目录时,可以建立一个自定义签章来加以保护。

  网络签章:网络型入侵防御签章 (NIPS) 可侦测并防止抵达主机系统的已知网络型攻击。

  每个签章均有说明与默认的严重性等级。取得适当的权限等级后,系统管理员即可修改签章的严重性等级或停用签章。

  我们如何来设定和修改签章呢?在 ePO 中你可以直接对预设签章进行复制和修改,或通过签章新建精灵来新建一个签章,此时会出现提示,就像我们在 VSE 中编写访问保护规则一样简单。此时你会发现,HIP 不但可以对指定文件、文件夹和注册表进行保护,而且也可以对指定的 Windows 服务进行保护。

  除了标准方法以外,高手们更可以通过编写ANSI Tool Command Language 语句的专业方法来实现更灵活更强大的行为规则签章。注:在 HIP 7.0 产品指南中有对语法的说明和示例。

  与在 VSE 中编写访问保护规则不同之处还有一点需要特别指出,签章需要填写名称、类型、安全等级等索引项目,还可以加上说明文字,你会发现与 VSE 相比,在 ePO中对 IPS 签章的管理是很方便很直观的,一目了然。

  当有进程违反某一项签章并报警时,你可以设定其为例外。

  注意:以上 IPS 行为规则签章的定制和管理都需要在安装有 ePO 的Windows 2000/2003 服务器操作系统上进行。在 Windows XP上,你将看不到签章内容,而只能设定例外。不过预置的主机签章和网络 IPS 签章已经足以应对常见可疑行为和入侵。但是,这些设定都保存在注册表中,这意味着我们可以导入在 ePO 中编辑好的 IPS 行为规则签章。

  三、应用程序策略

  简单的说,就是在你的电脑上运行任何未在 HIP 应用程序规则列表中的可执行文件时(包括挂接,可设定是否监视),HIP都会弹出提示询问是否允许运行该文件,你的选择将自动加入到 HIP 应用程序规则列表中,以后不再询问。

  通过这一功能,你可以阻止特定或任意不明可执行文件的运行。可以说,这一功能可以杜绝任何不明程序的运行,用好这一功能,你根本不用担心有任何病毒或木马会在逃过杀毒软件查杀后悄悄运行得逞,它是牢不可催的终极防线。

  怎么用好这一功能呢?这需要你在最初使用过程中的耐心和细心,你可以通过分析可执行文件的名称和所在目录,以及上网查找资料的方式,来了解这一程序是做什么的,以及是否应该让它运行。而这一过程,也会极大的提高你对 Windows 及其常用软件主要程序的了解和认识。从我的长期应用经验来看,可疑文件从文件名和所在文件夹上就可以很容易判断出来的。如果百度上没有相关资料,你可以将可疑文件上传到 VirusTotal 上用其拥有的30多个杀毒厂商的引擎扫描一下。

  应用程序策略在 HIP 的前身 MDF 上早已实现,不过很少有人开启,主要是人们怕频频提示的繁琐。其实,除了最初几天需要一一建立系统程序和常用软件的应用程序策略规则外,以后除你安装新软件时以外,是极难得弹出提示的。

  强烈推荐大家开启并使用 MDF 或 HIP 的应用程序策略。

  四、VSE、MDF和HIP 是不是HIPS?

  HIPS,即 Host Intrusion Prevent System 的简称,意为:主机入侵防御系统。它是通过预设的行为规则来监控电脑中文件的运行、文件运行了其他的文件(挂接)以及文件对注册表的修改,并向你报告请求允许的的软件。其中,HIPS 所谓的 3D 防护概念指的是:AD(Application Defend)--应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系。

  因为不存在能查杀一切病毒的杀毒软件,通过行为规则来应对未知威胁的HIPS成为以后系统安全发展的必然趋势。

  看到不时有人问 VSE 是不是 HIPS,在这里我可以很肯定的说,VSE 的访问保护规则和MDF 的应用程序策略都是HIPS的功能之一,而同时拥有IPS 行为规则和应用软件策略的 HIP 本身就具有完整的 3D HIPS功能。只是在界面和提示上不如一些面向个人桌面用户的独立 HIPS 软件做得友好,但具有更强的可定制性。


  五、遗憾和发展展望

  拥有比 VSE 访问保护规则更强大的 IPS 行为规则和应用程序策略的 HIP 堪称王者。然而,遗憾的是,要对 HIP 的 IPS 行为规则以及防火墙规则中的默认规则进行编辑和管理,必须在安装了 ePO 的 Windows 2000/2003 系统上进行。在Windows XP 中,你只能设定 IPS 的例外。

  不过,这并不意味着 HIP 对普通用户来说是一个鸡肋,一方面,HIP 内置的 IPS 主机签章和网络 IPS 签章(Windows XP 下看不到具体内容)已经足以应对常见的可疑行为和入侵,你可以以此配合 VSE 的访问保护使用,辅以 HIP 的应用程序规则,就能够打造相当强大的 杀毒软件+防火墙+入侵防御系统 ,而且很重要的一点是,这都是永久“免费”的,不必担心破解问题,且可定制性很强,玩通透了,就可达到传说中 McAfee 规则在手,安全我有的境地。:)

  另一方面,在 Windows XP 下HIP 的 IPS 签章和防火墙规则中的预置规则并非绝对不可编辑。我们知道,这些设定都是保存在注册表中的,所以可以在 Windows 2003 下用 ePO 编写后,导出相关设置的注册表,然后回到 Windows XP 下导入即可。

  当然,对于原来就是在用 Windows 2003 的朋友来说就更简单了,安装一个 ePO 就能充分发挥 HIP 的强大功能了。

  此文抛砖引玉,讲了些 HIP 的皮毛和大概而已,希望引起大家对 HIP 的好奇心,一起来共同探讨和研究。不要这么多年一直就讨论早已被研究透彻的 VSE 访问保护规则了,HIP 实在是比它强大得多。

  PS:至于很多用户抱怨的看不惯英文和繁体中文的问题,其实很容易解决。McAfee 企业版软件往往是采用外挂 DLL 语言文件的方式来实现多国语言化的,再加上有繁体中文版的语言文件,直接在其基础上用简体中文照着抄写一边就OK了,纯体力活,没一点技术含量。有兴趣做苦力的朋友请报名,我把汉化方法放出来。


[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; MAXTHON 2.0)
最后编辑2007-11-22 20:37:23.687000000
分享到:
gototop
 

该用户帖子内容已被屏蔽
gototop
 

在宣传软件的时候当然都说的非常好啊,我用过McAfee,感觉它的防御能力并不怎么样啊。
gototop
 

各大杀毒厂商的路线各不一样,我就用趋势,就是看中他占用小,方便。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT