Vista防火墙不能取代层次化安全模式

在我们继续之前，我建议大家不要错过我的文章：什么时候一个防火墙变得不再是防火墙？ 引来了持不同意见的读者的激烈争论。其中一部分争论（包括了一部分回帖和朋友们发给我的邮件）是针对出站防火墙默认禁止一切出站访问这一问题的。这样设置的初衷是让终端用户自行决定哪个程序可以连接外部网络，而实际结果是所有程序都会被允许连接外部网络。

配置出站防火墙的访问规则毫无疑问是一件痛苦的工作。一个默认为禁止一切出站访问的防火墙会没完没了的弹出来问你是否允许某个程序连接外部网络。这种体验会让你真正认识什么叫“没完没了”。对一部分用户来说，那句“Hey你，XYZ程序要访问网络，只允许本次、允许、阻止？”足以让他们崩溃。事实上，这正是微软极力避免的：重复的内容提示会影响微软所谓“Vista全新体验”的效果。许多的评论都纠缠在这个话题上。一位名叫t_mohajir的ZDNet读者在他的评论中这样说道：
David，出站防火墙真的管用么？我在另一个帖子中也提出了这个问题。假设微软部署了一个出站防火墙。对于恶意程序开发者来说，写一个名叫“iexplore.exe”（或者其他常见进程的名字）的可执行程序并访问80端口，普通用户怎么可能知道去阻止他呢？恶意程序开发者一个小小的举动就可以把出站防火墙变成废物，而我们可以肯定地是更多的恶意程序开发者已经去效仿了。

其实对于间谍软件或者恶意程序来说，我们首先应该阻止它们被安装到计算机上。一旦它们已经在计算机里了，一个不懂技术的用户是不可能阻止它们的。所以我不同意你的出站防火墙对终端用户危险程度的评价。

商业应用理应使用出站防火墙，可终端用户的水平还不足以驾驭它。出站防火墙其实不应该只是桌面级的软件产品，它更应该是一个有效的硬件防火墙或者代理服务器。不管怎么说，对于绝大多数人来说，一个软件级的出站防火墙的价值远没有我们想象得那么大。

t_mohajir还抄送了他的回帖到我的邮箱。对我来说，他的回帖提到了两个问题。第一，依照层次化安全模式（所有的层都应该被考虑进去）考虑系统安全（桌面、网络或两者）的需求。第二，用户多大程度上能够接受因为强化计算机安全而带来的复杂操作。我是这样认为的：

一个入站/出站防火墙本身并不能充当系统的保护神。除非一些不可避免的原因，用户在使用Vista的时候应该工作在受限用户级别（最好不是管理员级别的）。这本身就会阻止一些程序在用户不知道的情况下自行安装。就算你工作于管理员级别，一般的反病毒产品（也包括防火墙产品）也可以发现iexplore.exe的改变并且提示给用户。然后用户的反应则是回到用户在保护系统安全中的角色这个问题。顺便提一下，今天的新闻中，一位研究人员在测试两款常见的反病毒产品（一个是微软的；另一个是McAfee的）的时候，发现即使它们同时工作也不能探测出所有的当前正在流行的病毒。（天！我用的可是McAfee）

出站防火墙一遍又一遍弹出的询问窗口对用户来说倒也是一种另类的全新体验。但我相信为了保证系统安全，用户必须学会习惯它。我们驾驶汽车的时候会做一系列的准备来保证我们远离交通事故。其中一些人所作的准备会比另外一些人充分，对这些人来说，准备越充分，出事儿的机会越小。剩下的人则为图那一时的省事儿而不去做那些简单却非常有效的准备。比如，系安全带或者检查盲点。用户必须为此付一定的责任。

t_mohajir 回复我说我没明白他的回帖。他并不是说恶意程序将真正的iexplore.exe（红或其他类似进程）替换掉。他指得是恶意程序使用一个一模一样的名字出现在进程里。在这种情况下，t_mohajir表示毫无疑问绝大多数用户都会给恶意程序访问权，因为他们不能分辨。

但对于t_mohajir的解释，我一开始的回复依然是有效的。绝大多数防火墙或杀毒软件并不只通过判断文件名来结束某个进程。一些反恶意程序解决放案用到了文件指纹扫描。当用户批准一个出站连接请求时，他们实际上批准的是一个文件指纹而不是文件本身。一个真正的程序和使用伪造名称的恶意程序使用不同的指纹，这时候恶意程序依然会被标出并被系统提示。此外，为了让用户执行恶意程序，恶意程序的制造者还必须更改连接到程序本身的快捷方式。

最后，我还收到了一些用户的提醒，他们说我们可以反转Vista出站防火墙的极性。换句话说，所有出站请求全被阻止。但这样做有一个小问题（其中一个用户提示），那就是任何尝试连接网络的请求都会被直接拒绝而没有提示。这倒是一个好机会来锻炼用户配置例外规则。Vista中有专门的对话框来帮助用户。