顾莉雅现实当中的老公:关于ZA和COMODO的性能争论

关于ZA和COMODO的性能争论,我也来谈谈感想

转载

关于ZA和COMODO的性能争论,我也来谈谈感想

引言：在ZA专区里,我看到一篇关于ZA和COMODO性能的比较帖,帖子本身到没有什么技术含量，但单纯且毫无依据的对比,特别是一种模糊含糊的比较，肯定会带来大家的广泛但毫无结果的讨论.从网友的回帖里,却给了我这个尽管使用了1年防火墙，但却还比较菜的“老菜鸟”很多的启发，因为我经常在网络里搜索究竟个人软件防火墙有哪些功能，它们应该都做些什么，结果成捆成捆的转帖，就讲些大道理，或者是纯粹的只是对专业人员有帮助技术帖，根本没有切合到普通用户的心理和实际需求，让人看得云里雾里，就是找不到自己所需要的东西。信它们还不如信自己，现在,我仅仅从一个非常关注防火墙性能的普通用户的角度，就从这两款防火墙的各个方面，以及各种信息来源和我所使用这两款防火墙的经验，以及它们各自的使用环境，来谈谈自己的感受。（可能很多说法不正确，希望广大网友指正）

（一）无论防火墙采用哪些技术，但它们最终体现的终极目标就是以下四点：

1、防御“拒绝服务攻击”（DOS DDOS）等使系统耗尽资源，而使网络瘫痪的网络“暴力”攻击————以使电脑在这样的攻击下不至于防火墙瘫痪、通讯中断，或电脑当机，或恶意留下后门等。以使电脑能够继续在一定程度上保持网络通讯；（传统的防火墙都具有此模块，由于传统的攻击漏洞已经被Windows的一个个补丁修复了，所以新的防火墙用户可管理的攻击检测模块相对弱化）

2、端口隐藏，端口屏蔽（关闭）以及在被扫描到后对对方IP封锁————让黑客很难扫描到自己的电脑IP和端口，即使在扫描到正在和外部通讯的端口，也难以攻破这些端口，即使有攻破这些端口的可能，但一定时间段的IP封锁也可以让用户设置禁止对方IP的策略规则；

3、防漏洞————A、防止黑客采用非“暴力”技术手段利用防火墙端口漏洞进入系统；B、一旦电脑有木马病毒，在杀软没有发现这些木马，且木马运行并外连时，防火墙将防止木马外连，或木马隐藏于程序外连泄露重要资料，隐私和数据；C、对付网络“钓鱼”行为来窃取重要资料、隐私、数据；

4、防火墙自我保护功能。————A、当“拒绝服务”攻击成功造成网络瘫痪和通讯中断，防止这些攻击最终瘫痪防火墙，这个层面来看，它也属于“拒绝服务”攻击的一部分；B、防御非暴力技术手段终止防火墙运行，尽量少的BUG（并非普通意义上的由于规则制定所造成的端口漏洞，而是防火墙引擎的核心破绽）被黑客或病毒木马利用来瘫痪防火墙；C、自我保护机制的建立，（如卡巴KIS套装里的反黑客防火墙的保护机制）；

在保证电脑安全的基础上，一款优秀的防火墙肯定不会因为因为安全而拖累了电脑的运行，在保证电脑安全的基础上，协作系统，使之保持稳定而流畅的运行。————其中包括HTTP传输速度，TCP/UDP协议响应时间、吞吐能力，甚至还有一些专业的“粒度”、（比如日志记录的精细度，报警分级细致程度等）“肌肉数”定义等，这些能力都直接影响电脑应用软件的应用效率。这些由于太专业，我们没有必要深究，其实，这些表现在具体的运用环境中的体现就是如进入网页速度的快慢，响应的快慢，系统和软件的兼容性CPU，内存资源占用的大小，程序运行时是否有滞后的感觉等......所以我们最好的方法就是实际运用中去感受。

这个地址就是关于部分防火墙协作系统流畅工作的能力的的详细介绍和测评，里面包括ZA，但很遗憾的是，由于当时的名气和使用广泛程度，没有COMODO防火墙的测试
http://www.13du.cn/viewthread.php?tid=17316&highlight=

（二）评论和总结ZA和COMODO两款防火墙的成绩

1、防御攻击方面，ZA的能力是有口皆碑的老牌防火墙，这点我们毫不怀疑它的能力；但就COMODO，由于是新生代防火墙，其此能力不详细，没有太多的关于它此项的测评，但我们还是可以通过蛛丝马迹来对其能力进行部分判断。我们先可以参考以下这个网站
http://www.firewallleaktester.com/termination.php进入这个网页后，点下面的VIEW RESULTS（显示结果），就可以看到关于各个防火墙自我保护能力的终止测试的成绩。
从这个专业测试网站里，我们看到，就防御终止测试上（防御攻击的一部分），COMODO的能力甚至比ZA有过之而无不及。

同时，我们也可以进入http://www.pcflank.com/about.htm去测试EXPLOITS TEST这个测试项

当然，我们还可以参考Oceanzd版主所做的测评结论来做判断，地址如下：
http://bbs.kafan.cn/viewthread.php?tid=51527&extra=page%3D1&page=1

评分：通过以上的测评数据，因此在攻击防御上，ZA和COMODO应该都能够取得9分的高分；

2、端口测试方面，我们可以进入http://www.pcflank.com/about.htm去测试STEALTH TEST和ADVANCED PORT SCANNER这两个测试项。
从我个人的经验，我觉得COMODO很少有被其他IP的电脑进行端口扫描的提示，尽管有，但很少，而ZA相对来说要更多一些，不知道这是否与IP地址和端口隐藏能力有关？！！当然，两者对黑客端口扫描时的自动封锁对方IP的功能也非常优秀，（有网友指出这是防火墙的规则检测出了端口扫描，才显示出来；也就是说没有显示并不意味着没有被对方扫描或扫描到————这个观点我不敢苟同）
评分：因此结合上面的测试结合自己的感受，以及Oceanzd的评分，我在这里也都给它们打10分。

3、防漏洞项：请参看这个著名的脍炙人口的测评http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php

我只想说的是，由于WINDOW补丁的完善，作为个人防火墙的防御攻击能力不管从技术实现上，还是高标准的必要性上、重要性上，已经变得并不是最主要的衡量防火墙优秀与否的指标，尽管它还是最重要的指标之一；我们可以从最专业的matousec.com网站和firewallleaktester.com专业测评网站对这个指标的重视程度可以看出一些端倪。因为这些个人防火墙面对的用户更多的是个人，他们碰到黑客攻击企业服务器那样的类似攻击少之又少（大中型企业更是有他们的硬件级防火墙作为他们的依赖），更何况WINDOWS补丁的日趋完善；而恰好相反的是，从防火墙发展趋势，威胁程度，技术复杂性等问题来看，防漏洞能力不管是技术性，复杂性，重要性等，都是衡量一个防火墙能力的最主要指标，所以大家都如此关注COMODO的情况可以看出，它的防漏第一，甚至是世界软防第一并非言过其实；

这里还需要做一个补充，就是对于防漏洞项，现在几乎所有优秀行列的个人防火墙都运用了HIPS技术（Host Intrusion Prevent System 主机入侵阻截系统），（必须从概念上指出，这个技术绝非真正意义上的行为分析。）在防漏洞测试里，几乎带HIPS的墙都可以说是大显身手，但是，HIPS也有一个缺陷，那就是需要人为的进行判断，很多新手对此常常抱怨其复杂、难懂和烦琐，而且当一旦有可疑行为发生并出现提示框时，一旦点击允许，那么所有的努力也许就会功亏于溃，但COMODO2.4却是一款不带HIPS，却有更先进智能判断的防火墙，（COMODO V3将加入HIPS）它的智能判断机制也就是我们称的程序行为分析手段，我们可以参看此帖http://bbs.pcvista.cn/read.php?tid=2680，在这里，我们可以证明行为分析手段所展现的优异的性能！

评分：这个测试就不说了，这个成绩已经是人尽皆知了。此项关系到防火墙总体性能与水平，在总分数上，我想更有别于其他项,我更乐意给出总分30分的分值!那么,ZA24分,COMODO  28分!!

4、从matousec.com专业测试网站的测评和它所提供的一些信息来看，也是从专业观点，促进防火墙发展更完善的角度出发，各个防火墙在其发展过程中都有其众多BUG，只要有BUG，那么黑客和技术人员就有办法短时间做出针对每个BUG的系列程序来攻破防火墙。下面发两个地址，一个是我所搜集的COMODO防火墙的BUG以及破解，一个是关于COMODO测试的原文翻译地址来加以说明，地址如下：
http://bbs.kafan.cn/viewthread.php?tid=88353&extra=page%3D1
http://bbs.kpfans.com/viewthread.php?tid=37157
对于文章中耸动的评论，我们不用显得太过惊慌，毕竟这个网站是专门对防火墙挑毛病来经营自己的网站，在这个目的和基础上，也是比其他测试网站更全面，更专业，更公正的网站。只是说，这些能够引起我们足够的安全意识上的重视就足够了，因为我们在这里毕竟只是比较个人防火墙的相对安全性能，而非绝对，所以我们的态度不能非此即彼。还是上面那句话，你有多少BUG，黑客和专业人士就可以有多少类型的攻击程序来攻破，硬件级防火墙都如此，更何况软件级个人防火墙呢！更何况，从实际进展来看，它们都还在自我完善中前进。下面，我们来看看关于ZA的测评原文翻译：
http://bbs.kpfans.com/viewthread.php?tid=39973&page=1&extra=#pid428971

评分：因此在自我保护能力上，ZA  9分； COMODO只能获得8分的分数吧。（大概，请指正）

从以上防火墙设计目标可以看出一个简单的思路，那就是尽量做到：只要你黑客来攻击，首先，你根本扫描不到我这个目标；————好，即便你挖空心思找到我了，但你不用高超手段，或者水平稍次，那你根本就进不了我的电脑系统，只能在门外徘徊，或利用众多“肉鸡”采用群体性暴力攻击瘫痪目标电脑；（这样做的“成本”有点高，且目的性较强）————你进入了我电脑，或者我上网中了网马，没有查到，但防火墙还有最后一道关口，那就是根本不允许你注入的或者我疏忽放入的木马外连。从这些目标实现上来看，ZA和COMODO防火墙无疑已经做得非常优秀。

（三）最后，我们来说说这两款防火墙的适用性

1、个人防火墙不象杀毒软件，普通用户都可以收集病毒木马间谍广告之类的恶意程序来进行普遍意义的测试，防火墙就防御能力来说，对于我们显得更抽象，我们也只能更多根据专业测评来了解其性能。表层和肤浅的评价更多是从防火墙和系统以及应用软件的协调程度，我们因为卡巴斯基的看得到的杀毒效果而选择它，但我们能够因为看得到的防火墙的防御能力而选择防火墙吗？！能，但是很难，也难得有这样的机会测试，我们只能够从专业测试中看到，从论坛的分析中感受到，但更多的，我们只能直观的去感受它是否占用资源，拖网速等情况来判断某防火墙是否适合自己，而不是最优，所以很多人说到防火墙，就有那么经典的回答：适合自己的就是最好的。但我必须补充一句，那就是：在较高的安全前提下，适合自己的就是最好的。这个前提才是促使我们在这里讨论优秀的ZA和COMODO谁更适合自己使用的原因。但也就是在这个可以感知的适用性角度来讲，如果我们把它更细化，那岂不是更好，至少这点作为广大普通用户，我们还能够看得到，摸得着。

2、下面，我就来对ZA和COMODO的适用范围来谈谈我的经验：
A、ZA有ARP防护功能，这样功能的防火墙更适合使用局域网的用户，同时还增加“隐私保护”、“网页过滤”、“反间谍附件”几个功能，这对弥补单纯防火墙本身的不足是大有帮助，也非常必要。比如网页过滤功能，作为挂网木马病毒，是几乎大部分即使再优秀的防火墙都难以解决的老大难问题，对于经常上网浏览新闻，信息，论坛，收集资料的用户，它的作用就越发突出；作为普通用户，我们更是看其整体防护能力，在这些方面，的确如很多网友所说，ZA更加成熟；

而当ZA启动电脑时，也更慢，它占用的内存资源更多，但这些问题对于以后都是大内存的用户，所以并不是非常严重，我同时还发觉，开着ZA运行程序时，即使电脑不错，但还是有一种明显的粘滞感，但很稳定，（不知道这和防火墙的“肌肉事件数”有关，望指正）（两者比较，ZA的表现就好象一个木呐而塌实且强有力的壮年人所特有的品质和风格，而COMODO更象一个行动敏捷，但不失轻浮，毛躁的激情青年）；ZA的HTTP传输速度不错，它的TCP/UDP响应和吞吐量也属于中上水平，所以浏览网页，各种文件下载，数据发送的速度不错。综上所述，ZA更适合使用局域网和经常上网查找收集数据，进行各种商务信息收集，且重视隐私资料，如帐号密码的中小公司使用；

B、COMODO防火墙比ZA采用了更多的TCP/UDP SPI所谓封包主动侦测检验技术(Stateful Packet Inspection) 一般用戶就不用自行设定规则就可以滤掉大部份其他沒使用SPI技术的墙要添加一堆规则才能抵挡的攻击方式。SPI支援的协议越多, 需要自行添加的过滤规则就越少。（像ARP,碎片过滤，都属于SPI。）使用者不需自行添加规则, 就可以保护了。

但这项技术采用越多,对系统的CPU要求也会增加, 因为它要主动判別分析所有的封包；这也是大家普遍反映COMODO的CPU常常飚升的主要原因；还有一个影响就是由于主动侦测检验技术，所以在TCP/UDP响应时间和吞吐量，要比ZA表现得差，HTTP传输速度也表现得差强人意，我们可以从它的网页进入速度，数据传输速度以及BT下载速度可以分析出来。但这个问题也可以在以后大家采用性能更好的电脑而大大减缓这个问题带来的困惑，但它相比占用内存资源，要显得更难解决一些，对电脑使用性能的影响也更为突出一些；

比ZA好的方面就是，在COMODO的环境下，运行其他软件没有太大的粘滞感，启动也比ZA要快了很多，这些都是COMODO的优势。但也从规则制定管理方面看出，COMODO表现得很简单，不象ZA那样系统，具体和规范，也许是COMODO这样的更多采用TCP/UDP SPI（封包主动侦测检验技术）的防火墙不屑于花太多精力来进行这些规则制定的管理吧。从这些方面可以看出，COMODO防火墙也许更适合电脑内有大量重要资料的专业人士使用，因为他们对自己电脑的运行环境和自己常用的软件比较熟悉，常时间的电脑使用知识和经验也使它们对COMODO——这一款有点“麻烦”的防火墙有一定程度的判断。

评论和评分：毕竟电脑在一定安全的基础上，主要目的是拿给用户进行各个领域的使用,所以考虑到防火墙配合电脑系统良好，稳定且流畅运行的必要性,此项我给出20分的分值。
ZA:其整个架构非常适合这些公司的管理和制定方面，从适用性和有效性方面，显得比其他软件防火墙产品更为成熟，核心的规则制定机制也非常适合几十人的中小型公司的规则制定的使用，因此，我给ZA  17分;
COMODO：在资源占用，规则管理制定成熟度，附件的支持等问题下，我们很难给COMODO以高分，也许它的表现也就是12分的水平吧。

总成绩：ZA共69分，COMODO共67分。

分数仅仅是我个人设定，但我至少还觉得它对大家有一定参考价值。所以，说究竟谁比谁优秀，谁胜出在这里毫无意义！！毕竟防火墙产品是一个木桶效应，究竟具体使用环节中，“木桶的哪块板”“漏水”，这和使用环境有极大的关系，至少普遍意义来说，防漏这块板从现实的威胁，从普通用户的运用环境来看（包括我们面对的是多少对手，什么水平的对手，什么目的的对手，我们用电脑都在做些什么！），防漏洞这块“漏水”的可能性更大，几率更高！因为大部分防火墙用户都爱浏览大量网站，防火墙恰好在防网页木马能力上是弱项，一旦杀软无法拦截，那么木马进入电脑后第一件事就是运行并外连！！！大家可以去想想，上亿台电脑，在加上技术上更容易实现的端口屏蔽和隐藏功能，分摊下来，你有多大几率被真正的高水平（记住，是高水平黑客）黑客扫描得到？？！他们又有多大兴趣来扫描个人PC？？！所以，防漏洞这块的“漏水”几率比端口屏蔽，DOS攻击大得太多！！拉拉咋咋说了这么多，其实广大用户自己心里最有数，所以，根据你们实际使用环境和个人侧重，可以对分值具体分配进行调整。

以上就是我对此两款防火墙的肤浅的认识和略带感性的评价，请广大网友给予我这篇文章的更多支持和指正，也使我能够学到更多，让我们也共同发展。谢谢大家。
本文转载 卡饭论坛