【IT168专稿】最早时候，多数大型企业都只使用坚固的网络防火墙来提供安全护，只有极少数企业需要在Windows桌面层运行软件来达成防火墙保护目标。至少在几年前还是如此。

　　随着通过无线技术访问互联网和公司网络的移动型工作者的增加，以及员工通过个人宽带进行家庭办公情况的增多，不要求提供桌面支持的可靠Windows软件防火墙也应运而生了。当然，对于家庭用户来说，由于他们的网络缺乏企业安全系统保护，也就更需要防火墙的保护。

　　防火墙不相信臃肿

　　现有，诸如赛门铁克、Check Point/ZoneAlarm、McAfee、趋势科技和熊猫等Windows安全软件厂商所销售的多是大型多组件的安全套件。这些产品更多追求的是顾客感知价值（CPV），而完全忽视轻便、简单、直接的实用性。这就使得桌面安全软件的购买者往往得忍受慢如蜗牛的系统运行速度。

　　但是通过对安全套件产品的多年测试、对资深电脑用户见解的总结，我们得出的结论是：基于Windows的多功能桌面安全产品的用户满意度真的很低。与轻量级独立安全工具相比，诸如诺顿网络安全特警之类的产品需要占用更多Windows系统资源。

　　此外，据第三方测试站点（如，Firewall Leak Tester和Matousec）的独立安全测试结果显示：许多大型产品所提供的安全防护比一些不知名的简单安全软件产品所提供的还要少。当然，这并不是说来自于赛门铁克、McAfee以及其它安全厂商产品所提供安全保护功能不好。它只是说明：并非只有来自知名安全公司的大型的、臃肿的软件才能提供可靠保护。

　　对比双方的目的是为了确定适合Windows桌面使用的非常好的轻量级软件防火墙。去年，曾有机构进行了一项类似长期研究项目来寻找非常好的轻量级Windows防病毒软件。依据一年多的测试和数百个读者的切身体验结果显示： Eset NOD32 2.7是2007年度非常好的Windows桌面防病毒产品。

　　此次非常好的轻量级Windows桌面防火墙研究是从2006年9月着手准备的。一开始号召读者提名首轮参评产品并提供他们使用防火墙的详细体验。因为用户体验对产品最终评估结果起着至关重要的作用。

　　什么才是好防火墙？

　　怎样才算是一款好的防火墙呢？实际上任何一款好防火墙的判断可能因人而异，它都是基于主观和客观因素的主观评估。

　　首先，入站保护功能是最基本的，即便是最适当配置的低成本软硬件防火墙也可很好保护您的计算机和网络免受偶尔的入站攻击；

　　其次，网络地址转换（NAT）、数据包状态检测（SPI）以及可选式端口访问智能管理功能，它们可提供一个虽不完美但也很不错的安全防护水平。

　　最后，出站保护功能是重要的。假如您的防恶意软件防护允许恶意代码通过电子邮件进入您计算机，或允许来自web站点的恶意代码在您系统上运行，从而提取您计算机上的有效数据并发送至互联网的任何地方，您还是受保护的吗？

　　这些才是您的防火墙应该阻挡的主要行为类型。但是并非所有的防火墙产品在这方面做的都很好。事实上，很多常用的防火墙提供了非常差的出站保护功能。

　　正因如此，出站保护是安全功能中的最关键指标。目前，这种保护功能是通过我们所知的防漏洞测试来进行评测的。现有此类测试很多，有费用昂贵的面向企业提供的测试，也有免费提供的测试。

　　此外，桌面防火墙保护还有一些其它重要标准：

　　－低的系统性能影响。

　　－可配置为静音操作模式，或至少可将不必要的及莫名其妙的弹出窗口的数量减至最小。

　　－当配置为静音模式时，必须有选项可切换到交互模式。

　　－必须和其它类型和品牌的软件安全产品相兼容，比如：VPN、防病毒、反间谍软件、反垃圾邮件等产品。

　　－必须具有逻辑级控制和设置功能，可帮助用户避免安全漏洞。

　　最后，还有一个重要的方面是无需经常性地改动局域网配置，就能使防火墙运行在您的局域网中。任一种妨碍基本网络功能实现的软件防火墙，在运行环境中将不会停留多久，没有人愿意受到防火墙的折腾。
　　知名防火墙难入选 安全软件在于精

　　由于此次评选是为了确定适合Windows桌面使用的非常好的轻量级软件防火墙，因此捆绑有四个或四个以上安全模块（如：防病毒、防恶意软件、独立的反间谍软件引擎、防火墙、反垃圾邮件、身份识别、隐私权保护政策）的产品皆排除在外。而捆绑有两或三个模块的产品，只有其某些或全部模块皆可被用户选择禁用，且与其它软件安全产品有很少或者完全没有不兼容的问题时，这样的产品会才被列入参评软件中。

　　其实，那些好象一应俱全的安全软件实际能做的事情并没多少。换言之，安全软件在于精而不在于多，此次入评的产品，Finnie只要求它可以完成指定工作，并且可以与其它软件完美配合即可。

　　这种特殊的要求让软件安全领域的一些来自知名厂商的产品直接出局，其中包括卡巴斯基、诺顿、McAfee、趋势科技、CA、Check Point/ZoneAlarm（包括ZoneAlarm Pro）、F-Secure以及其它厂商产品。在过去九个月时间里，已经测试了很多其它软件防火墙，其中由于未达到一个或多个评估标准而被排除在外产品具体如下：

　　－ZoneAlarm 7.0.337（免费版）：出站防漏洞测试中表现差。

　　－Windows XP SP2中的Windows防火墙：出站防漏洞测试得分极低。

　　－ Outpost 4：已经变成一个复杂的套件产品，难以控制，存在不兼容问题。

　　－ 诺顿个人防火墙：烦人的重复程控提示。

　　－ Sygate个人防火墙：Sygate已被赛门铁克收购，不再提供对该产品支持。

　　－ Tiny个人防火墙：Tiny已被CA收购，不再提供该产品。

　　此外，还有几款候选的软件防火墙则是由于在Firewall Leak Tester和 Matousec的出站漏洞测试中效果不佳而被排除在外。其中包括：Avira、BitDefender、Norman和Ashampoo Firewall Pro。

　　看得出此次研究明显火药味极浓。经过初始测试及首轮淘汰，最终只有以下五款软件防火墙仍名列榜中：

　　－Comodo Firewall Pro 2.4

　　－Jetico Personal Firewall 2.0 beta

　　－Sunbelt Personal Firewall 4.5

　　－Look 'n' Stop Firewall 2.06

　　－Eset Smart Security Beta 1a

　　我们最终对这五款产品的操作和功能进行了全面测试。
　　　Comodo Firewall Pro 2.4

　　这款防火墙应该授予非常好的进步奖。防火墙测试专家谈到：“一年前我第一次看到这款产品时，并没有多大印象。Comodo让我想起了诺顿个人防火墙。它非常烦人，总是重复弹出对话框--甚至当我告诉它记住设置后，还是一再地出现。在一次使用Firefox浏览的过程中，我竟然不得不连续八九次点击'是的，允许其运行并且记住该设置'。而且使用Comodo要进行的网络配置是十分麻烦的。”

　　看来，Comodo团队是有认真地听取用户反馈意见。在最近发布的Comodo 2.4中，发疯似地弹出窗口问题已经得到了解决。在许多应用刚开始一两次使用时，您可能还会遇到少数的弹出窗口，但是该软件有一个弹出窗口合计系统，可以让用户更方便地选择记忆配置。尽管我对具有弹出窗口的用户界面还不完全满意，但总体来说，它用户体验已经大大提高了，至少可以让人接受了。

　　在安全防护方面，Comodo表现也是一流的。在Matousec测试中它得分最高，尽管这不是在使用默认设置的情况下。

　　Comodo并没有提供常用的"信赖区域（trusted zone）"设置，没有提供为提供用户界而来配置您的局域网。配置防火墙来与网络相协作的流程应该通过一个专门设计的用户界面来进行，这样可以使复杂的设置变得简单。显然，Comodo缺少了这种功能。

　　尽管它存在这个问题，不过，如果您知道该如何去设置的话，Comodo的设置对话框能够让您创建网络访问。我配置网络功能时没有碰到困难，该防火墙并不干涉正常的网络操作。

　　与其它一些最终被排除的防火墙一样，Comodo并不是一个“安静的”防火墙。在帮助您决定是否允许访问程序方面，它不象ZoneAlarm一样具有一流的可用性，但是总的来说相差并不大。

　　事实上，Comodo在安全性和便捷性方面实现了很好的平衡。在这方面，它无疑表现极好的。

　　Comodo Firewall Pro是免费的，支持32位的Windows 2000、 Windows XP和Windows Server 2003。

　　Jetico Personal Firewall 2.0 beta

　　对于Jetico Personal Firewall 2.0.0.27 beta，实际上是有些令人失望，特别是它在Matousec的出站防漏洞测试中以"优秀"得分，名列第二。据Matousec分析结果显示，它拥有最好的默认设置可以实现强大的创新性安全防护功能。

　　可惜，尽管Jetico的安全防护功能极好，但它的用户体验却是非常差的。您将面临的是没完没了的重复弹出窗口，就好象旧版Comodo防火墙一样，Comodo在这方面做了很大的改进，而目前在Jetico上又重现了这一弊病。

　　在您第三次和第四次运行IE浏览器时，仍然会接收来自Jetico的与IE相关的弹出窗口。它看起来似乎没有可预先设置的应用控制规，除了连续点击"确认"外，毫无它法可行。

　　在我们看来，软件防火墙将所有控制权放到了最终用户的手中，这就产生了安全问题。如果将控制权放在专家手工，相信计算机能得到最好保护。不过，如果是掌握权到了毫无头绪的外行手中呢？谁也不知道会有什么意想不到的事件出现。此外，在使用Jetico进行局域网配置时也遇到了麻烦，您很难找到网络设置在什么地方。

　　Jetico Personal Firewall价格为30美元，支持Windows 2000、 Windows XP （32位和64位）和Windows Server 2003 （32位和64位）。这个测试版号称支持Vista。可是当在Vista上运行它时，却出现了中断问题。

　　由于Jetico当前只是测试产品，我们期待在不久的将来它已解决这些问题。但如果没有得到改进，相信它它将不得不从这个非常好的轻量级软件防火墙列表中消失了。

　　Sunbelt Personal Firewall 4.5

　　Sunbelt Personal Firewall，即以前的Kerio个人防火墙，是刚开始研究时最领先的一款入选产品。和Comodo的用户界面相比，它拥有更精巧的界面。但是Comodo配置和控制功能则更好。

　　Sunbelt Personal Firewall的真正问题是它需要一次大升级。Sunbelt应抛弃不够严格的单一操作模式，更多专注于高级模式，使这一模式更易于使用和配置。

　　在使用Sunbelt防火墙时也存在一些网络问题。关于Sunbelt的用户体验报告声称使用动态IP地址的网络打印机时无法打印文档。如果打印机不是动态分配IP地址而是静态指定IP地址，则不存在这样的问题。

　　在使用Sunbelt Personal Firewall（4.0版）所碰到的网络问题时，无法连接到一个Windows XP的虚拟实例。这款防火墙不允许运行虚拟XP的计算机连接到防火墙所在计算机上，而其它防火墙都可以。不过，我们还没有详细查看Sunbelt防火墙的所有设置，因此不能确定地说其他人也会遇到这个问题。但是，防火墙应该不干扰您的网络。

　　最后，Sunbelt产品在防漏洞测试中保护功能方面表现不如其他产品好，但它具有很好的用户体验。据Sunbelt Software公司消息，Sunbelt产品从4.0到4.5的升级变化是非常微小的。我们等待在它的下一版本中能够修复以上所提及的bug。该产品的下一版本发布日期仍未定，值得我们期待。

　　Sunbelt Personal Firewall 4.5价格为20美元，支持Windows 2000和所有的Windows XP版本。

　　Look 'n' Stop Firewall 2.06

　　Look 'n' Stop的问题大致如下：在安装完它之后，运行了一些互联网客户端程序，这使得装有Windows XP的电脑以每秒一次的速度嘟嘟响了快一个小时。程序不断提示出现另一上传或下载过滤数据包。

　　当您通过一个选项来关闭这种嘟嘟响声时，一般您会很希望看到某类您应该看到的并且执行停止的提示信息（这就是产品名字的由来）。但无论任何信息都会被保存在日志文件中。

　　那它有什么优点呢？它能实现实时保护，并保证双向网络通信的实时操作。很明显，Look 'n' Stop可用来实现细粒度的提示及控制。它基本上没有什么自动化操作。如果您喜欢非常细致地管理您的软件防火墙，它也许就是您所需要的产品。

　　不过，您如果按下电脑上的静音按钮，Look 'n' Stop还是会不断地记录软件和操作系统发起的互联网通讯内容。这决不是适合一般Windows用户使用的防火墙。

　　此外，根据Matousec测试，该软件所提供的出站安全保护功能低于平均值。

　　简而言之，一款可靠的防火墙必须提供保护性和便捷性，其它一些产品在这方面已经做得更好。例如：Comodo，它虽然在便捷性上不是最理想的解决办法，但是不象Jetico或 Look 'n' Stop那样吵闹。而Look 'n' Stop既没有提供便捷性，也没有提供保护性。

　　公平地说，它其实并不是用来和别的防火墙进行一样的工作。

　　Look 'n' Stop价格为30美元，支持Windows 2000和Windows XP。据称2.06版已经过在Vista上运行测试。
　　

　　Eset Smart Security Beta 1a

　　大家对NOD32 2.7一定不陌生，它是2007年非常好的防病毒/防恶意软件产品，而它的生产厂商Eset公司正在测试一个新的轻量级安全套件，其中包括一个防火墙、一个反垃圾邮件模块和3.0版的NOD32。

　　假如这款防火墙表现不错的话，它也将是此次非常好的轻量级软件防火墙榜单上一款入选产品。在Beta 1a中的反垃圾邮件模块只支持Microsoft Outlook，并且该功能可被禁用。在这款新安全套装中，对NOD32的控制和设置进行了小小的改变。NOD32的更深层配置依然可以通过左侧配置树型菜单中的高级模式看到。但首先映入我们眼帘的是它更敞亮、更开阔的屏幕。

　　那么一款套件产品有什么吸引人的地方呢？Eset Smart Security包括两个主要的安全工具：防恶意软件和软件防火墙。反垃圾邮件只是附加功能，如果您不想使用，可以完全禁用它。

　　测试Eset Smart Security的时间并不长，但是目前为止，它的低系统资源占用还是令人印象深刻，即使还是beta版，它稳定性也很强，它的整体用户体验都不错。但是，它的防火墙安全水平到底如何呢？

　　我们需要花费时间来测试它的安全防护能力。有趣的是，这款防火墙有一个静寂模式（silent mode），可默认安装。为了方便测试，我们使用的是交互模式。我们将对两种模式都进行测试。从个人角度来看，我们更喜欢交互模式。但是，我们对于Eset认为它无需任何用户交互就可以完成安全防护设置倒是很感兴趣。我们也十分赞成这种为普通用户着想的思考方式。

　　但是，Eset真能实现这些功能吗？我们将拭目以待。NOD32也能被设置成静寂操作模式且表现相当出色。

　　另外，在安装时，Eset Smart Security为我们的网络建立了一个信任区，这确实非常智能。

　　Eset Smart Security beta现在可免费下载使用，最终定价还待定。它支持32位版本的Windows 2000 、Windows XP、Windows Server 2003和Windows Vista。

　　总结

　　总的来说，这几款轻量级软件防火墙各有各的特点。其中Comodo Firewall Pro是当前所有参选产品中最领先的软件防火墙。Comodo去除了与Jetico类似的连环弹出窗口，并且提供很好的选项和设置，是一款非常好的产品。而且，它具有100%终生免费使用许可。最重要的是，它的开发者一直都在积极地进行大量更新来不断改进该产品，相信这款产品将会越来趋于完美。

　　至于Eset公司的NOD32，虽然其用户界面不易使用，且对电子邮件软件的支持也有限，但其防恶意软件工具的强大功能却实在不容忽视，让人不得不为之折服。Eset的工程师知道如何编写一款运作良好且不会抢占太多系统资源的Windows安全软件。因此，Eset Smart Security值得我们关注，当然前提是它必须证明其具备出站漏洞保护的能力。