文/佚名

　　有一些问题常令用户困惑：在产品的功能上，各个厂商的描述十分雷同，一些“后起之秀”与知名品牌极其相似。面对这种情况，该如何鉴别？

　　描述得十分类似的产品，即使是同一个功能，在具体实现上、在可用性和易用性上，个体差异地十分明显。

　　一、网络层的访问控制

　　所有都必须具备此项功能，否则就不能称其为防火墙。当然，大多数的路由器也可以通过自身的ACL来实现此功能。

　　1.规则编辑

　　对网络层的访问控制主要表现在防火墙的规则编辑上，我们一定要考察：对网络层的访问控制是否可以通过规则表现出来？访问控制的粒度是否足够细？同样一条规则，是否提供了不同时间段的控制手段？规则配置是否提供了友善的界面？是否可以很容易地体现网管的安全意志？

　　2.IP/地址绑定

　　同样是IP/MAC地址绑定功能，有一些细节必须考察，如防火墙能否实现IP地址和MAC地址的自动搜集？对违反了IP/MAC地址绑定规则的访问是否提供相应的报警机制？因为这些功能非常实用，如果防火墙不能提供IP地址和MAC地址的自动搜集，网管可能被迫采取其他的手段获得所管辖用户的IP与MAC地址，这将是一件非常乏味的工作。

　　3、NAT(网络地址转换)

　　这一原本路由器具备的功能已逐渐演变成防火墙的标准功能之一。但对此一项功能，各厂家实现的差异非常大，许多厂家实现NAT功能存在很大的问题：难于配置和使用，这将会给网管员带来巨大的麻烦。我们必须学习NAT的工作原理，提高自身的网络知识水平，通过分析比较，找到一种在NAT配置和使用上简单处理的防火墙。

　　文/闪电精灵

　　(1)对目的地址进行过滤和对网址中的关键词进行过滤，系统内置了大量的限制网址，和限制关键字，能够有效的阻隔色情；能够对基于网页内容的限制，可最大限度的阻隔色情，同时用户可以自定义限制关键字数据库，如限制'法轮功'10次，当网页中的'法轮功'超过10次 则不允许显示。

　　(2)时间控制功能，支持三种控制形式。一是确切时间限制，可以具体指定某时间内是否允许访问上网；二是一天总时间限制；三是一个星期总时间限制。

　　(3)禁止或网上聊天，在时间控制内,允许上网浏览网页的同时，是否允许运行QQ或ICQ进行网上聊天。是否允许对进行编辑，是否允许对背景、控制面板等进行设置，是否允许打开窗口等。

　　(4)禁止本机上的其它程序的运行。具有自动关机功能，用户能指定本机器在什么时间关机或重新启动。

　　(5)详细的日志查看功能，能以图表形式显示当日的各时段的上网情况，本周的各天上网情况，本月的各天上网情况.

　　(6)屏幕自动监视功能，为了更好的对被监护人的上网期间的情况作一个更

　　详细的了解，对屏幕每隔一段时间进行拍照，并将图片保存到硬盘中，同时在每张

　　图片上加上时间戳可以最大限制的保证数据的有效和可靠性。为了防止图片过多，占用空间，并具有自动删除过期图片功能。

　　(7)视力保护功能，家长指定一个屏幕保护程序，当小孩连续上网的时间超过规定，系统将会自动弹出屏幕保护程序，到时将不能做任何事，从而达到视力保护的效果。

　　(8)可以隐藏程序图标（即在任务栏中看不见），可设置系统热键弹出，系统默认的热键是ctrl+alt+P。

　　3、家长无忧(如图3)

图3

　　(1)网络过滤，封杀黄、毒、赌、反动等不健康网站。

　　(2)控制聊天程序与，别让你的孩子沉迷于聊天与游戏。

　　(3)控制电脑使用的时间。有两种模式：一是时段模式。限制允许对计算机每一个小时的网络使用和工作状态进行设置，且只在“学生模式”下生效。每个时段有三种状态：允许上网、禁用网络但允许使用电脑、禁用电脑；限时模式，定义每天使用多少时间，一旦将预定时间使用完后，家长无忧会在100秒后自动关机。

　　(4)强大详细的日志记录。有屏幕截图、网络日志、日志、进程日志。家长可设置每隔一段时间截取一次屏幕图像，该日志很直观的反映了学生的活动情况。通过日志查询功能家长可以以播放幻灯的方式模拟再现学生电脑屏幕图像；网络日志则记录了学生浏览的网站信息，包括浏览时间、网站名字、IP地址、标题、URL路径等。

　　(5)最具稳定性、自我保护性、可自我恢复性的软件系统，即使进入安全模式，家长无忧也照样运行。

　　4、护花小精灵(如图4)

图4

　　文/闪电精灵

　　(1)防堵不良网站。软件综合运用网页内容分析与不良网址数据库校验等先进的过滤技术，对不良网站进行事前防堵。可以有效地防止上网时接触黄赌毒等不良内容。

　　(2)推荐精彩网址。软件精选了100多个有助于青少年学习成长的优秀网站以供他们浏览。

　　(3)限制运行。现在大部分学生使用计算机进行游戏，可谓是无日无夜，严重影响了其学习与身体健康，作为家长，您可以通过此功能对计算机上的与单机游戏进行限制。

　　(4)限制聊天。上网聊天也是影响学生学习成绩的另一个重要原因，身为家长的你可以通过此功能禁止孩子们进行聊天。

　　(5)视力保护。电脑用久了对身体与视力的影响是巨大，处于发育阶段的学生更应该要注重在这方面的保养。通过视力保护功能，您可以让孩子们养成一个健康使用电脑的好习惯！

　　(6)控制电脑可使用时间。可以让您指定在一个星期中哪一天中的哪一个时间段可以让孩子使用计算机，哪一个时间不允许孩子们使用计算机，起到管理与保护作用！

　　　二、测试实战

　　我们将从以下5个方面进行测试对比：控制聊天软件的能力、控制电脑上网时间和使用时间的能力、日志记录能力、自身的隐藏能力和安全能力、过滤网站或网页关键字能力。

　　1、控制聊天软件能力

　　(1)网络爸爸

　　运行该软件后，我们还能运行，并且也能出现登录界面，但还未登录成功，QQ就被强行关闭了。给人的感觉好象QQ本身有问题，有很大的迷惑性。启动新浪最新版UC和时，未出现登录界面即被关闭。控制聊天软件的能力非常好。

　　(2)e软家长助手

　　在该软件监控下，QQ与不能运行，但其它的聊天软件，如UC、MSN等都能正常运行，控制聊天软件能力一般。但可以通过“软件控制”功能将聊天软件的文件名添加进来进行控制，不管你将聊天软件的目录拷贝到什么硬盘分区也都会被关闭。

　　(3)家长无忧

　　该软件运行后，登录QQ进行测试，仍然能够正常登录。打开“家长无忧”界面，发现控制聊天软件功能默认是不控制，在“游戏与程序控制”→“禁止已程序”(如图5)，在“QQ(网络聊天)”选项前打上钩，再进行测试发现QQ不能运行了。

图5

　　对其它的聊天软件并未进行控制，我们想控制时需要自己“禁止未知程序”中进行设置，不太方便。控制聊天软件能力一般。

　　(4)护花小精灵

　　该软件运行后也能使用QQ，看来该软件默认也是不控制聊天软件，进行“设置”→“防陼设置”界面(如图6)，果然发现未选中“开启限制聊天功能”，选中后再进行测试，运行QQ时出现如图7的所示的提示信息，不允许运行QQ。但UC和MSN都能顺利运行，控制聊天功能差。

图6

图7

　　文/闪电精灵

　　2、控制电脑上网时间和使用时间

　　(1)网络爸爸

　　有很好控制上网时间的能力，通过简单的点击就能实现一个时间内是否允许上网(如图8)。但没有控制使用电脑时间的功能。

图8

　　(2)e软家长助手

　　有更为详细的控制上网的设置(如图9)，可以设置一个星期中具体某个时间是否允许访问计算机（包括访问网页和用我的电脑访问本地目录)，或每天访问网络的时间，或每周访问网络时间。这样可给孩子较大的主动性。

图9

　　(3)家长无忧

　　该软件这方面的功能更强(如图10)，可以任意设置某个小时能访问网络，或不能访问网络，或不能使用电脑。对电脑和上网有全面的控制功能，非常完美!

图10

　　(4)护花小精灵(如图11)

图11

　　文/闪电精灵

　　该软件只有限制上机时间功能，而没有限制上网时间功能，可以通过设置，指定在一个星期中哪一天中的哪一个时间段可以让孩子使用计算机，哪一个时间不允许孩子们使用计算机，起到管理与保护作用！

　　由于缺少了最关键的上网控制功能(当然也可通过控制使用电脑时间来相对达到目的)，该软件就显得有点缺憾。

　　3、日志能力

　　有好的日志能力才能让家长对孩子使用电脑的情况了如手掌，本文将从屏幕截图、网站日志、硬盘日志三个方面进行比较。

　　(1)网络爸爸

　　该软件具有屏幕截图和网址记录功能，通过屏幕截图(如图12)家长能够非常直观地了解孩子使用电脑的情况；而网址日志则明白地告诉你孩子都上了哪些网站。

图12

　　没有操作本地硬盘监控功能，不过我们通过把屏幕抓图时间设置地小一点(在“程序设置”→“日志设置”功能中设置)的方法来弥补这方面的缺憾。

　　(2)e软家长助手

　　该软件有屏幕截图功能，可以自己设置截图时间间隔和保存图片的天数；能直观地显示每天各时段的上网情况(如图13)，单击“查看”按钮将会启动记事本打开详细的上网记录和使用电脑的情况，非常详细。

图13

　　(3)家长无忧

　　有屏幕截图日志、网络日志(如图14)、硬盘日志(反映安装、删除、复制文件的情况)、进程日志，全方位地记录了电脑被使用的情况，简直就如您亲自坐在电脑前看到的一样。这些日志均可通过“日志设置与查询”功能进行相应的查询与设置，是四款软件中日志功能更全最好的。

图14

　　文/闪电精灵

　　(4)护花小精灵

　　没有任何日志功能，作为一款防聊天软件和WEB聊天功能很强的，不能不说这是其一大软勒。

　　4、自身的隐藏能力和安全能力

　　一款监控软件不管它自己的功能有多强，日志有多全面，如果其自己安全性不好，被孩子随便中止了运行，那么也是没有用的，因此自身的安全性至关重要。

　　(1)网络爸爸

　　该软件有密码设置，进入软件时必须输对密码才行，自己有极强的防删除能力，其进程不能被杀死，通过“任务管理器”无法终止进程，因此只要它运行了，如果您没有密码是没有办法中止其运行的，也无法删除其安装文件，具有极的安全性。

　　可以通过“其它设置”的功能将其设置为：运行是不显示欢迎画面，任务栏上不显示图标，即能悄无声息的运行，让孩子感觉不到监控，很具有人性化。

　　(2)e软家长助手

　　进入该软件进行设置也需要输入密码，该软件运行后会关闭“Ctrl+Alt+Del”键，我们不能调出任务管理器，因此也不能删除其运行的进程和安装文件，有很强的安全性。

　　可以隐藏运行的任务栏图标，需要设置时通过热键Ctrl+Atl+p调出界面，具有很好的隐藏能力。

　　(3)家长无忧

　　进入该软件进行设置也需要输入密码，该软件运行后，我们仍然能调出任务管理器，但并不能终止“家长无忧”的进程，自身有很好防删能力。

　　没有隐藏自身运行界面的功能，当孩子使用电脑时可能有种被监视的感觉。

　　(4)护花小精灵

　　进入该软件进行设置需要输入密码，该软件同样通过禁用“Ctrl+Alt+Del”键的方式来达到自己进程被终止的目的，安全性能一般。

　　也没有隐藏自身运行界面功能，从身安全性来说，保护措施一般。

　　5、网站过滤能力

　　四款软件都具有防堵不良网站的功能，都采用了不良网址数据库和网页内容实时过滤等多种防堵方式。可以不定期升级网址库，因此具有很好的网站过滤能力；同时都有“网址白名单”和“网址黑名单”功能，可以灵活运行这两个功能来自己定制孩子可以或不能访问的网站。

　　在网站过滤能力方面不相伯仲。

　　文/闪电精灵

　　三、结论

　　通过5个方面的比较，可以说每款软件都有自已的特点，又有不足。“网络爸爸”控制聊天软件的能力最强，也能限制WEB聊天，界面非常简洁，自身的安全性非常强，值得使用，但其控制电脑使用时间和日志方面功能欠缺；“e软家长助手”在控制电脑上网时间和使用时间功能很完善，日志能力也很好，但控制聊天软件的能力和自身的安全性稍差；“家长无忧”在控制电脑上网时间和使用时间功能上做的最好，日志最全面，是四款软件中日志功能最好的。自身安全能力也极强，但其控制聊天软件的能力一般，自身没有隐藏功能；“护花小精灵”有灵活地控制使用电脑功能，内置控制聊天软件的功能差，没有控制上网时间功能，自身的隐藏能力和安全能力最差。

　　不管怎么说，监控软件功能的日臻成熟，给忙碌的家长们提供了帮助，它们可以在很大程度上代家长监控孩子玩电脑和培养他们正确的上网习惯。朋友，你是否整天忙于工作而无暇管自己的孩子呢？那么您就非常有必须使用一款网络监控软件!

　　四、软件信息及

　　1、网络爸爸

　　软件版本：V6.4.10.18

　　软件大小：2189 KB

　　软件类别：共享

　　应用平台：Win9x/NT/2000/XP

　　地址：点这里下载

　　2、e软家长助手

　　软件版本：V1.4

　　软件大小：2764 KB

　　软件类别：共享

　　应用平台：Win9x/NT/2000/XP

　　下载地址：点这里下载

　　3、家长无忧

　　软件版本：20

　　软件大小：12219KB

　　软件类别：共享

　　应用平台：Win9x/Me/NT/2000/XP

　　下载地址：点这里下载

　　4、护花小精灵

　　软件版本：V1.2.0.1

　　软件大小：1340 KB

　　软件类别：共享

　　应用平台：Win9x/NT/2000/XP

　　下载地址：点这里下载

　　文/佚名

　　二、应用层的访问控制

　　这一功能是各个厂商的实力比拼点，也是最出彩的地方。因为很多基于免费实现的防火墙虽然可以具备状态监测模块(因为、等的内核模块已经支持 状态监测)，但是对应用层的控制却无法实现“拿来主义”，需要实实在在的编程。

　　对应用层的控制上，在选择防火墙时可以考察以下几点。

　　1.是否提供HTTP协议的内容过滤？

　　目前企业网络环境中，最主要的两种应用是WWW访问和收发电子。能否对WWW访问进行细粒度的控制反映了一个防火墙的技术实力。

　　2.是否提供SMTP协议的内容过滤？

　　对电子邮件的攻击越来越多：邮件炸弹、邮件、泄漏机密信息等等，能否提供基于SMTP协议的内容过滤以及过滤的粒度粗细成了用户关注的焦点。

　　2. 是否提供FTP协议的内容过滤？

　　在考察这一功能时一定要细心加小心，很多厂家的防火墙都宣传说具备FTP的内容过滤，但细心对比就会发现，其中绝大多数仅实现了FTP协议中两个命令的控制：PUT和GET。好的防火墙应该可以对FTP其他所有的命令进行控制，包括CD、LS等，要提供基于命令级控制，实现对目录和文件的访问控制，全部过滤均支持通配符。

　　三、管理和认证

　　这是防火墙非常重要的功能。目前，防火墙管理分为基于WEB界面的WUI管理方式、基于图形用户界面的GUI管理方式和基于命令行CLI的管理方式。

　　各种管理方式中，基于命令行的CLI方式最不适合防火墙。

　　WUI和GUI的管理方式各有优缺点。

　　WUI的管理方式简单，不用专门的管理软件，只要配备浏览器就行；同时，WUI的管理界面非常适合远程管理，只要防火墙配置一个可达的IP，可实现在美国管理位于中国分公司的防火墙。

　　WUI形式的防火墙也有缺点：首先，WEB界面非常不适合进行复杂、动态的页面显示，一般的WUI界面很难显示丰富的统计图表，所以对于审计、统计功能要求比较苛刻的用户，尽量不要选择WUI方式；另外，它将导致防火墙管理安全威胁增大，如果用户在家里通过浏览器管理位于公司的防火墙，信任关系仅仅依赖于一个简单的用户名和口令，黑客很容易猜测到口令，这增加了安全威胁。

　　GUI是目前绝大多数防火墙普遍采用的方式。这种方式的特点是专业，可以提供丰富的管理功能，便于管理员对防火墙进行配置。但缺点是需要专门的管理端软件，同时在远程和集中管理方面没有WUI管理方式灵活。

　　文/佚名

　　四、审计和日志以及存储方式

　　目前绝大多数都提供了审计和日志功能，区别是审计的粒度粗细不同、日志的存储方式和存储量不同。

　　很多防火墙的审计和日志功能很弱，这一点在那些以DOM、DOC等电子盘(并且不提供网络数据库支持)为存储介质的防火墙中体现得尤为明显，有些甚至没有区分事件日志和访问日志。如果需要丰富的审计和日志功能，就需要考察防火墙的存储方式，如果是DOM、DOC等电子盘的存储方式，将可能限制审计和日志的功能效果。

　　目前绝大多数防火墙审计日志采用硬盘存储的方式，这种方式的优点是可以存储大量的日志(几个G到几十个G)，但是在某些极端的情况下，如异常掉电，硬盘受到的损坏往往要比电子盘的损坏严重。

　　好的防火墙应该提供多种存储方式，便于用户灵活选择和使用。

　　五、如何区分包过滤和状态监测

　　一些小公司为了推销自己的防火墙产品，往往宣称采用的是状态监测技术; 从表面上看，我们往往容易被迷惑。这里给出区分这两种技术的小技巧。

　　1. 是否提供实时连接状态查看？

　　状态监测防火墙可以提供查看当前连接状态的功能和界面，并且可以实时断掉当前连接，这个连接应该具有丰富的信息，包括连接双方的IP、端口、连接状态、连接时间等等，而简单包过滤却不具备这项功能。

　　2. 是否具备动态规则库？

　　某些应用协议不仅仅使用一个连接和一个端口，往往通过一系列相关联的连接完成一个应用层的操作。比如FTP协议，用户命令是通过对21端口的连接传输，而数据则通过另一个临时建立的连接(缺省的源端口是20，在PASSIVE模式下则是临时分配的端口)传输。对于这样的应用，包过滤防火墙很难简单设定一条安全规则，往往不得不开放所有源端口为20的访问。

　　状态监测防火墙则可以支持动态规则，通过跟踪应用层会话的过程自动允许合法的连接进入，禁止其他不符合会话状态的连接请求。对于FTP来说，只需防火墙中设定一条对21端口的访问规则，就可以保证FTP传输的正常，包括PASSIVE方式的数据传输。这一功能不仅使规则更加简单，同时消除了必须开放所有20端口的危险。