【IT168 专稿】几年前，大多数大型企业认为，通过自己坚固的网络防火墙保护体系就可以完美的保护网内的计算机。但是随着企业中移动用户和无线用户的增多，以及员工有时候需要在家中通过家庭网络进行工作的情况的增多，仅仅在企业网络入口设置坚固的防火墙已经不远远不够，选用一个不需要多大技术支持的桌面级防火墙实际是一个不错的选择，当然对于那些缺乏企业安全系统保护的家庭用户来说，自然更需要来自桌面级防火墙的保护。

    目前市场
    尽管市场中有各种各样功能全面的安全套装，诸如赛门铁克、迈克菲、趋势和熊猫等安全厂商都有自己的安全套装，但是这些安全套装大多功能复杂，最终会使你的系统慢如蜗牛。这些安全厂商追求的是利益的最大化，而不是为用户提供轻量级的简单实用的产品。经过数年对众多安全套装产品的测试，以及与一些高级计算机用户的经验交流，我得出一个结论：基于Windows的多功能桌面安全套装产品具有很低的用户满意度。与轻量级的独立安全工具相比，诸如诺顿网络安全特警之类的产品通常需要占用更多的Windows系统资源。

    而且，根据来自第三方测试站点（如Firewall Leak Tester和Matousec）的独立安全测试，许多大名鼎鼎的安全产品并不比一些简单的不出名的安全产品提供更多的保护功能。这并不是说来自赛门铁克和迈克菲们的安全保护不好，关键是我们不一定非要掏钱来购买这些来自知名公司的大型臃肿的软件，选择一些轻量级的安全防火墙可能更合适。

    满足什么样的标准才算一个好的防火墙？
    实际上一个好防火墙的标准可能因人而异，因为所有的标准都将包含不同的主观和客观的判断。下面我谈一下我判断一个防火墙是否足够好的标准。当谈到桌面防火墙保护的时候，我们首先想到的是，它是否可以完成对入侵到你的计算机或网络的行为的阻止。另外，网络地址转换、状态数据包监测、访问端口的智能管理也在考察之列。不过在我看来，更重要的指标应该是外出数据防护功能。有时候你的反恶意软件未能阻挡住一些恶意代码的进入，它们可能是通过电子邮件，也可能是通过在你机器上访问的网站进入的，这些恶意代码有可能会提取出你的计算机中的数据，并发送到互联网上的某台机器上，你的防火墙会对此进行阻止吗？我认为这才是你的防火墙需要阻挡的关键行为。但是并非所有的产品在这方面做的都很好。事实上，很多常用的防火墙提供了非常差的出站防护功能。

    这就是为什么我认为出站防护是安全功能中最重要指标的原因。目前，这种出站防护功能的评测通常是借助于常说的泄露测试（leak tests）在进行的。这类的测试工具很多，有昂贵的面向企业的测试工具，也有免费提供的测试工具。

    防火墙的一些其他重要指标还有：
    ·必须对系统性能有较低影响；
    ·可以被设置成安静操作模式，或者至少这个产品要尽量减少不必要的或莫名其妙的弹出窗口的数量；
    ·当设置成安静操作模式时，必须有选项可以切换到用户交互模式；
    ·必须与其他类型和品牌的软件安全产品保持兼容，诸如VPN、反病毒、反间谍、反垃圾邮件产品等等。
    ·必须具有合理的控制和设置来帮助用户避免安全漏洞

    还有一个重要的方面，这个防火墙必须能让你方便的配置局域网参数，而不用不断的去设置它。任何阻挡基本网络功能的软件防火墙不会在我的机器中停留太长时间。没有人会愿意成为防火墙的奴隶。

    参赛产品一览
    那些捆绑了四个或更多安全模块的安全产品被我明确的挡了本次参评软件的范围之外，诸如反病毒、反恶意软件、单独的反间谍软件引擎、防火墙、反垃圾邮件、身份识别和隐私保护等。对于一些具有两三个模块的产品，如果它们的其中一部分或全部模块可以被用户选择禁用，而且这个产品和其他安全软件产品有很少或完全没有兼容问题的时候，这样的产品将会列入参评软件中。

    对于那些具有多个功能的安全软件，我认为样样通实际却是样样松。换言之，安全软件在于精而不在于多，只要它可以完成指定的工作，并且可以和其他软件完美配合即可。这种特殊的要求直接让一些来自大牌厂商的产品直接出局，诸如卡巴斯基、诺顿、迈克菲、趋势、CA和Check Point等等。

    基于以上的某些标准，被我排除的软件包括：
    ·ZoneAlarm 7.0.337（免费版）：在出站功能泄露测试中表现很差；
    ·Windows XP SP2中的Windows防火墙：不具备出站防护功能；
    ·Outpost 4：已经变成一个复杂的套装产品，难于控制，且存在兼容性问题；
    ·Norton个人防火墙：重复出现的程序控制提示让人感到厌烦；
    ·Sygate个人防火墙：被赛门铁克收购后不再提供支持；
    ·Tiny个人防火墙：被CA收购后不再提供。
    另外，根据Firewall Leak Tester和Matousec进行的出站泄露测试，我还删除了几个软件防火墙。

    经过层层选拔，剩下来的四个软件是：
    ·Comodo Firewall Pro 2.4
    ·Jetico Personal Firewall 2.0 beta
    ·Sunbelt Personal Firewall 4.5
    ·Eset Smart Security Beta 1a
    我测试所有这四个安全产品的操作和功能。以下是我的初步评测结果。

    Comodo Firewall Pro 2.4
    这个防火墙应该被授予非常好的进步奖。当我一年前第一次看到它时，它还不是那么令人印象深刻。当时的感觉是："Comodo让我想起了诺顿个人防火墙。它看上去非常杂乱，经常不断的弹出对话框，即使我已经告诉它记住设置。在一次使用Firefox浏览器的过程，我竟然不得不连续八九次点了''是的，允许其工作并记住这个设置''。"然而，随着最近的Comodo 2.4版的发布，让人发疯的不断弹出窗口问题得到了解决。图1、

Comodo Firewall Pro

    尽管当你第一次或第二次使用许多应用时，依然会碰到一些弹出窗口，但是这个软件具有一个聚合的弹出窗口系统，可以让用户更方便的选择记忆配置。尽管我对具有弹出窗口的用户界面还不完全满意，但总体来说，它的用户体验已经大大提高了，至少可以让我接受了。

    在安全防护方面，Comodo的表现也是优异的。在Matousec的测试中它的得分最高，尽管这不是使用的默认设置的情况下。Comodo没有提供常用的"信赖区域（trusted zone）"设置，没有提供设置你的局域网的用户界面。配置一个防火墙与网络正常通信的过程应该通过一个专门设计的界面来进行，这样可以使复杂的设置变简单。显然Comodo缺失了这个功能。

    这是它存在的一个小问题，不过，如果知道该怎么去设置的话，Comodo通过设置对话框可以让你创建网络访问功能。我在配置网络功能的时候没有碰到麻烦，防火墙不会干涉正常的网络操作。Comodo不像有的参评软件那么"安静"，在帮助你判断是否允许访问一个程序方面，它不像ZoneAlarm一样具有一流的可用性，但是相差并不大。实际上，Comodo在安全性和方便性之间实现了很好的平衡。在这方面它可以说是表现最好或接近最好的。Comodo防火墙完全免费，支持32位的Windows 2000、Windows XP和Windows Server 2003。

    Jetico Personal Firewall 2.0 beta
    对于Jetico Personal Firewall 2.0.0.27 beta版，我实际上是非常失望的，不过它在Matousec的出站泄露测试中取得了第二名的成绩，得分为"优秀（Excellent）"，另外它还有最好的默认设置可以实现强大的出站保护。图2、

Jetico Personal Firewall

    但是，尽管Jetico的保护功能是强大，它的用户体验却是非常差的。你使用它将面对没完没了的重复出现的弹出窗口。事实上，以前在老版Comodo防火墙中的这一缺点转移到了Jetico中。在我第三次和第四次运行IE浏览器的时候，我依然会收到来自Jetico的与IE相关的弹出窗口。似乎之前设置的规则根本没有起作用，除了连续点"确认"之外毫无办法。在我看来，把所有的控制下放到终端用户手中的软件防火墙会面临安全问题。从一个安全专家手中，这可能是优点，可以让他们最好的来保护自己的计算机，但是对于那些新手们来说，这无疑是一个灾难。另外，我在使用它来配置局域网功能时候也遇到不小的麻烦，我很难找到网络配置在什么地方。

    Jetico Personal Firewall支持Windows 2000、Windows XP（32位和64位）、Windows Server 2003（32位和64位），另外这个测试版号称支持Vista，但是我在Vista下使用的时候，感觉并不好。当然由于这个版本还处于测试阶段，出现这些问题或许是难以避免的，希望正式版会解决这些问题。

    Sunbelt Personal Firewall 4.5
    Sunbelt Personal Firewall就是以前的Kerio防火墙，在以前的试用中就给我留下不错的印象。我认为它的用户界面要比Comodo更精巧一些。但是Comodo提供了更好的配置和控制功能。图3、

Sunbelt Personal Firewall 4.5

    Sunbelt Personal Firewall的真正的问题就是需要一次大的升级，我认为Sunbelt应该抛弃简易运行模式，而专注于使高级模式更方便使用和配置。在使用Sunbelt防火墙的时候也存在一些网络方面的麻烦。一些人称使用动态IP地址的网络打印机无法打印文档，我的打印机不是动态获得地址而是静态指定的地址，如果你碰到这个问题，我推荐你使用这种设置。

    我所碰到的Sunbelt Personal Firewall中的网络问题是，无法连接到一个Windows XP的虚拟实例。这个防火墙不允许运行虚拟XP的计算机连接到真实的计算机上。而我测试的其他防火墙都可以。不过我没有详细查看Sunbelt防火墙的设置，因此我不能确定的说其他人也会遇到这个问题。最后，Sunbelt的产品具有非常好的用户界面，但是在泄露测试中表现不如其他产品好。从4.0到4.5的升级所带来的变化非常小。或许它的下一个版本更值得关注。Sunbelt Personal Firewall支持Windows 2000和所有版本的Windows XP。

    Eset Smart Security Beta 1a
    我曾很明确的说过，我不太热衷于安全套装产品，但是这并非绝对。大家对NOD32 2.7一定不陌生，我认为它是2007年的非常好的反病毒/反恶意软件产品，而它的生产厂商Eset正在测试一个新的轻量级的安全套装，其中包含一个防火墙、一个反垃圾邮件模块和3.0版的NOD32。图4、

Eset Smart Security Beta 1a

    如果它的防火墙表现不错的话，这个产品会成为本次评测中的一款有力选手。在Beta 1a中的反垃圾邮件模块只支持微软的Outlook，而且这个功能可以被禁用。在这款新安全套装中，对NOD32的控制和设置进行了小小的改变。NOD32的更深入的配置依然可以通过左侧的配置树形菜单中的高级模式看到。但是我们首先看到的是一个轻量级、更具紧凑感的软件。

    我测试Eset Smart Security的时间并不是很长，但是至今为止，它的表现却出乎我想像的好。它的低系统资源占用深深打动了我，虽然处于beta版却非常稳定，以及它的整体用户体验都不错。有意思的是，这个防火墙具有一个"安静"模式，是默认模式。从个人角度讲，我喜欢选择交互模式，但是我对于Eset认为它能够无需用户交互可以完成防护的事实比较感兴趣。我非常赞同这种为普通用户考虑的想法。

    NOD32也能够运行在安静模式，而且表现的非常好，Eset在这个轻量级安全套装中能否再次成功呢？还需要时间来检验。还有一件事情打动了我：作为安装的一部分，Eset Smart Security可以为你的网络建立一个信任区域，确实非常智能。Eset Smart Security beta版目前可以免费下载，可以运行在32位版本的Windows 2000、Windows XP、Windows Server 2003和Windows Vista上。

    总结
    总体来说，本文中介绍的几款国外轻量级Windows桌面防火墙各有自己的特点，朋友们可以根据自己的需要来选择试用。不过，Comodo Firewall Pro无疑是目前我所认为的其中最有竞争力的产品。去除了类似Jetico中的不断弹出的对话框，并提供了更适合用户的选型和设置，Comodo是一个非常好的产品。而且它是完全免费的。另外，它的开发者正在通过数量众多的更新在不断的完善产品。另外，来自Eset的产品也表现不错，显然Eset的工程师知道如何为Windows编写一个低资源占用的安全软件，它也值得我们关注。