【IT168 专稿】在上一篇防火墙软件的评测表现中，我们接触到了目前国内一些较常见的软件产品;与国内产品相比，国外防火墙产品优势在于技术成熟、知名度高。在本文中我们即将来看看在国外口碑不错的几款防火墙软件的整体表现。

四款个人防火墙软件评测之国内篇

　　一、软件信息

　　二、软件安装表现

　　在安装这几款防火墙软件前，系统中已安装了瑞星2008杀毒软件和360安全卫士。Zone Alarm安装时即会提示进行初始配置，需要重新启动后使用;Outpost Firewall也会在安装完成时提示配置，无须重启系统即可使用;其余两款防火墙软件的安装都体现了一样的特点：安装过程非常方便，而且安装界面相当简洁。整个安装过程所体现出来的，就是不讲究安装的华丽，以实在的安装为主，这也是国外防火墙软件与国内产品的区别;如图1所示为McAfee防火墙软件的安装界面。

图1 LockDown Millennium防火墙安装

　　三、软件界面表现

　　从界面的整体效果及操控性来看，Zone Alarm和Outpost Firewall显得更好一些，它们都采用了左右分布的方式，单击左边的功能项会快捷的在右方找到相应的设置选项;Outpost Firewalle 带有专家视图和简易视图两种不同的界面显示方式，Zone Alarm未发现这样的切换方式，但它比较有特色是最上方的几个功能图标，单击这些图标即可实现状态的转换。另外，从主操作界面所反映出来的整体功能也较为丰富，感觉使用者有较大的参与自由，如图2、图3所示。

图2 Zone Alarm操作界面

图3 Outpost Firewall操作界面

　　而LockDown Millennium和McAfee，则表现出很简洁的界面，感觉就是一款普通的应用软件;当然，简洁的界面并不代表其功能就不完善，相反地，简化了用户的操作设置项也就带来了更智能的安全防护功能。比如LockDown Millennium安装完成后会在桌面生成简单模式和高级模式两个启动项，这方便用户根据不同的安全级别启动相应的防护;而McAfee则体现出了最大的简洁化。两者操作界面如图4、图5所示。

图4 LockDown Millennium操作界面

图5 McAfee操作界面

　　总结：各款软件在启动到主界面时都较为迅速。进入操作界面后也发现一个问题，可能是在安装过程中没有注意，这四款软件在完成安装及启动到主界面情况下，均未提示要升级本地数据库的信息。

　　四、主动防御提示

　　对于网络访问、系统进程访问、程序运行等本机状态发生改变时，防火墙软件一般都会有主动防御提示出现。下面来看看这四款国外防火墙软件在主动防御提示方面是否有特色可言。

　　测试环境：分别单独运行四款防火墙软件，然后再依次测试在打开本地应用程序“Windows优化大师”和在线应用程序“QQ游戏”时反应(四款防火墙软件都未进行任何前期的规则配置)。

　　Zone Alarm的防御提示如图6(左)所示，提示信息比较简单，列出了程序名且可以单击“查看属性”链接进入操作系统自带的程序查看项;Outpost Firewall的防御提示如图6(右)所示，根本看不出这是防火墙的提示，倒是和操作系统的对话框相似，单击“快速助理”项可以查看程序信息。

图6 主动防御提示信息

　　在默认设置状态下，后两款防火墙软件均未出现防御提示信息。通过后期的使用得知，LockDown Millennium默认的是“中等安全”级别，当设置为“最高安全”时所有的连接访问均会出现提示;而McAfee则是因为默认情况下并未打开“应用程序策略”，如图7所示。

图7 McAfee的应用程序策略界面

　　总结：通过对此项目的体验发现，前两款软件主要在于综合防范，因此它们在默认状态下即提供了较高的应用规则;而后两款软件则更强于对网络访问的监控，因此在默认情况下本机应用程序的启动处于“置之不理”的状态，这也是不同功能倾向的结果，可以通过后期设置调整来弥补。如果你觉得这样的提示意义不大，可以把经常使用的程序加入白名单，这样即可减少主动防御的拦截提示了。

　　五、规则配置表现

　　要使防火墙软件更好的服务于用户，除了其默认的安全规则外，还需要用户在使用过程中不断的完善其规则;而规则的设置是否灵活方便、实际效果是否理想等方面，也是判断一款防火墙软件整体安全性是否合格的重要标准。下面就来看看这四款软件的表现。

　　1、Zone Alarm

　　ZoneAlarm防火墙具有三个安全级别(高、中、低)，分成信任、封锁和 Internet三个区域;通过“专家级防火墙规则”项即可自由创建所需的规则了。比如将防火墙的“Internet区域安全级别”调到“高”)，这样你的电脑在网络上就隐藏起来了，而且别人还不能使用你的共享资源，如图8所示。

图8 ZoneAlarm安全级别调整

　　另外，通过专家级的规则制定，它能够让高级用户自由控制上网资源。虽然在其他同类型软件中也可找到此类规则制定模式，但是相比而言ZoneAlarm专家级的规则制定功能更强大，体现在可以对组操作(避免重复操作)、间控制和可以控制到MAC级别，这正是网管需要的功能。规则添加界面如图9所示。

图9 专家级规则添加界面

　　小结：虽然它的专家级规则制定功能非常强大，但过于“专家”化的规则添加界面，也可能让初学者难以理解如何来创建这个规则，没有相应的操作提示或者说规则创建不傻瓜化可能是它唯一的缺点。

　　2、Outpost Firewall

　　此款防火墙软件虽然同样采用左右分布方式，但在右方的功能显示区中并不能进行实质的操作，需要单击相应的链接，然后进入到统一的设置窗口中来实现修改，配置方式相对于ZoneAlarm来说要稍逊色一点。但它向导方式的规则配置过程却很实用，类似于Foxmail的垃圾邮件配置界面，就算是初级用户也可一步一步完成配置，如图10所示。

图10 Outpost Firewall规则配置界面

　　它的默认安全级别则包括四个等级，分别是全部阻止、阻止大多数、允许大多数和关闭。比如选择“全部阻止”可使本机与网络的连接完全断开，选择“阻止大多数”则可让所有没有被允许的通讯禁止出入本机系统。

　　小结：虽然在主操作界面下不能直接实施配置，但其完善的默认安全级别以及清晰明了的向导式规则配置，却可满足各阶层用户的应用需要。

　　3、LockDown Millennium

　　通过使用后感觉，这款防火墙软件的配置极其简单高效。首先，在“状态/安全级别”功能项下，可以简单的选择不同的安全级别，如图11所示;而安全规则的配置，则要进入黑色工具栏中“常规”项下，在“常规设置”标签项中配置，其配置没有其他同类软件那样繁琐的步骤，只需在信任或者不信任栏处单击“添加”按钮，再定位到相应的程序项即可，如图12所示。

图11 LockDown Millennium安全级别调整

图12 LockDown Millennium规则添加

　　小结：简单快捷的规则配置过程让此款防火墙具备更好的亲和力，能实施在线检测所有对本机的访问并控制它们;另一特色就是可以分别对应用程序、文件或注册表键值实施单独的规则添加。

　　4、McAfee

　　McAfee的安全级别选项被放在了主操作界面的右上方“保护级别”的下拉菜单中，从如图13所示界面可以看到，它提供了较丰富的选项。其中，如果选择了“客户端高”或“服务器高”级别，则会自动断开网络连接;选择“编辑策略档案”一项，可以导入之前保存的规则文件。

图13 McAfee保护级别选择

　　要自定义规则，可以通过右键单击下方空白处，然后选择“添加/新建规则”的方式来进行。规则配置界面如图14所示，同样带有一定的专业性，要学会此类规则配置界面，还得先补补有关网络通信方面的知识哦。

图14 McAfee规则配置

　　小结：防火墙安全级别的设置非常方便，但自定义规则的配置和Zone Alarm一样都显得过于专业，不是说不好，而是会在易用性上打折扣。

　　六、防御能力表现

　　对于防火墙防御能力的表现，由于偶然因素太多，因此无法从一个固定平等的测试环境中来得出结果。因此这里使用了X-Scan等安全扫描工具来测试。虽然得出的结果可能仍然有一定的出入，但大致可以做为一个性能参考(此测试均在各防火墙软件的默认设置状态下进行，未添加任何自定义规则)。

　　Zone Alarm：利用X-Scan扫描时表现良好，基本上不能在目标计算机上获得有价值的信息，但能扫描到少数系统开放的端口;这要得益于它丰富而强大的功能表现。除了基于IP协议和应用程序的安全过滤之外，Zone Alarm Pro还提供了大量的防护特性以将用户计算机的安全推向更高层次。

　　Outpost Firewall：它的默认安全级别为高级，在使用X-Scan扫描时惊喜的发现其未扫描到任何信息，完全将本机隐藏在了一个高安全环境下，这从如图15所示检测结果报告中可见一斑。

图15 X-Scan扫描结果

　　LockDown Millennium：此款防火墙在此次的测试中表现一般，在X-Scan扫描时发现了不少开放的端口及服务，查看其默认安全级别得知是中等级别;估计通过后期的规则添加会弥补默认安全级别的不足。

　　McAfee：测试表现中规中矩。端口静默一项McAfee只是在缺省配置下有端口未被置为隐秘模式， 在X-Scan中也发现了2个开放的TCP端口，但并没有泄漏太多有用的信息。将防御等级调至最高后即可解决这些问题。

　　总结：四款软件在默认安全规则下的防御能力表现还算正常，相对而言只有LockDown Millennium的表现稍差一些。但在强攻击测试的通过性上还是欠佳，这也是目前不管是国内还是国外防火墙软件的通病，毕竟这是应用层的防护。同时也表明其默认的安全规则并不能达到完全的安全防范能力，需要用户尽量严格地定义规则，才能更好的防止网络攻击。

　　七、其他功能表现

　　这主要是从软件的扩展功能表现以及操作设置的易用性等方面来综合判定。

　　Zone Alarm：具有过滤网址、阻止弹出广告窗口、将未受保护的无线网络“学习”为规则、恶意软件检测、个人隐私保护等丰富的功能项，可以满足用户各方面的需要。特别是它的病毒监控和反间谍软件功能都具有很高的实效。另外，它还有个游戏模式时对系统运行状态的设定项，如图16所示，可以配置为全部同意也可配置为全部禁止，这也算是很贴心的一种设计吧。

图16 Game Mode配置窗口

　　Outpost Firewall：它可以阻止弹出窗口和按照内容阻止广告程序，其间谍软件保护功能除了能够实时的进行间谍软件监测之外，还可定制间谍软件扫描，非常实用;另一大特色就是可以控制网络图片的显示，比如用户可以增加一个针对大幅面图片的限制规则从而防止对非法图片的浏览。当然，它提供的完善日志系统和详尽的统计信息也是很实用的。

　　LockDown Millennium：可以实施木马扫描应该是此款防火墙相比其他三款来说最显著的一个特点;也可实现对已启动的所有程序、进程的检查，如发现可疑或与本机无启动关联的，会提示删除;对局域网的安全管理也是此款软件的一大特色，如图17所示它提供了对共享资源的查看管理以及附带了Ping、路由追踪等网络工具。

图17 局域网共享资源查看

　　McAfee：McAfee对应用程序的管理比较细致，在授予各种应用程序权限的基础上，还能够管理应用程序是否可以调用其它的程序组件。另外一个特色就是McAfee可以复制已有的规则并经过修改生成新的规则，这就使得用户可以快速生成大量规则，提高了使用效率。

　　总结：四款软件在功能表现上各有千秋，Zone Alarm无疑是功能最为全面的一个，而McAfee的功能扩展性则是这四款软件中表现较差的一个，其他两款的表现还算中规中矩，除了防火墙的主功能外也可见到一些细节功能项，比如Outpost Firewall的图片显示控制、LockDown Millennium的网络管理工具等。

　　八、资源占用表现

　　四款软件在运行中(打开主操作界面)的系统资源占用表现如下：

　　Zone Alarm：6452K

　　Outpost Firewall：21224K

　　LockDown Millennium：9936K

　　McAfee：7428K

　　总结：从数据可以较容易知道，Zone Alarm资源占用率是最低的，相对较高的是Outpost Firewall，其余两款软件的表现中规中矩。但在使用中也发现，Zone Alarm在启动时明显要比其他三款软件慢一些，这估计是其在启动时需要预装大量功能组件所致吧。

　　九、体验总结

　　从各项测试表现上来看，Zone Alarm和Outpost Firewall是表现相对较好的两款。虽然在在运行效能上Zone Alarm并不太理想，但它丰富的功能和可管理性是不可置疑的，界面规划比较清楚，不同的功能组件明确的放置在相应的选项页中，方便用户调用设置;而Outpost Firewall在界面美观度上表现不错，在为规则指定行为方面它也有很多独到之处，相比较而言，此款防火墙软件更加提倡使用内置的规则来管理各种网络访问。

　　LockDown Millennium可能是此次测试使用版本的原因，总感觉其设计有些粗糙;不过在功能表现上还算理想，它的最大特色就是启动迅速、带有多项扩展功能(比如木马扫描、共享管理等)，说它是系统自带防火墙的升级版本也较为恰当。

　　McAfee整体看来自主防御能力较强，用户参与配置项不多，特色不明显。唯一值得一提的就是它的规则集定义能力，不但内置了大量的协议和服务支持，而且在定义网络过滤规则的同时还可以选择相关的应用程序以进行更细致的限定，这种规则的配合使用方式的确有较好的安全效果。

　　透过以上几个方向的体验介绍，其实我们不难对比发现：国内防火墙产品确实在诸多方面与国外同类型软件存在一定的差距。比如，入侵检测系统原本是给企业级防火墙专门定制的，但如今越来越多的国外安全软件厂商把入侵检测融合到防火墙中，可以说这已经不能算单纯的防火墙了;另外，在默认设置状态下，国外防火墙即可实现许多安全保护功能，而国内产品，单纯依靠自带的不完整规则，效果并不是很理想的。