出站筛选可以提供多少安全性?

　　关于出站筛选实际可以提供多少安全性的问题，安全社区一直存有一个极大的误解。到目前为止，我已提过两个通过出站筛选提供安全性的方案，但是这两个方案都依赖于 Windows Vista 中以前没有的新功能。尽管如此，人们仍认为出站筛选整体来说相当不错，并应作为购买防火墙时的主要考虑因素。

　　令人啼笑皆非的是，许多公司在购买防火墙时以出站筛选为准绳，但在实施防火墙之后，出站筛选却根本派不上用场。这种误导使信息安全组白白浪费了不少资金和精力。但是，有时候采取一些与安全性相关的操作，让大家得到心理上的安慰，反而比实际分析真正的威胁更能主导人们的决策。通常，决策是由人们对此类“安全性表现”的需要所主导，而不是由实际情况所主导。

　　这是关于出站筛选的一个非常简单的事实，但拥护者们却没有考虑这一点。基于主机的防火墙供应商的常见论调是：如果系统受到攻击(无论是蠕虫还是恶意的交互用户)，出站筛选都会阻止蠕虫感染其他系统，或者阻止入侵者向外传播。实际情况并非如此。

　　事实上，在其他条件不变的情况下，出站筛选可以阻止一些曾经出现过的恶意软件。但是，如果 Windows XP 附带了出站筛选，那么我们到目前为止所看到过的蠕虫，很可能早已关闭或绕过此功能。

　　在 Windows XP(以及早期的 Windows 版本)中，任何假冒服务身份运行的蠕虫(以及所有在对话中出现并假冒服务身份运行的常见蠕虫)都可能会停用出站筛选。如果它们不这么做，唯一的理由就是根本没有使用出站筛选的环境，因此也不必停用它。在交互式攻击中，攻击者可随心所欲地避开出站筛选器。如果攻击者能够运行任意代码，此目的将很容易实现。但是如果需要，攻击者还可以引诱用户避开出站筛选器。

　　避开基于主机的出站防火墙筛选器的方法有很多种，具体取决于实际的攻击方案。最简单的方法是“请”具有过高权限的用户帮忙。现在有太多环境的用户仍以管理员身份运行，因此那些用户有权随心所欲地避开安全策略。用户面对攻击者提供的充满诱惑力的东西(如流行的流氓兔)时，很少想到无形和非直接的安全利益。

　　用户因为看多了这类对话框，常常不假思索就按下去，根本没有仔细了解上面的内容，结果就中招了。这是出站筛选的第一个问题。也就是说，安全性和诱人的奖品(如流氓兔)，两者中胜出的一定是流氓兔，因为大部分要求用户做出安全性决策的对话框都缺乏足以让用户做出安全决定的参考信息。

　　然而，要提供附上充分的决策参考信息的对话框来请用户做出安全性决策，谈何容易。因为安全性产品(如防火墙)不仅需要了解端口、协议以及发出请求的应用程序，还要了解请求的真正目的，以及此目的对用户的意义。这些信息很难以编程的方式提供。例如，对于 Microsoft Word 中的链接，人们往往对单击该连接会执行什么操作感兴趣，而忽视单击该链接也会建立出站连接!

　　我们需要做的是减少(而不是增加)无意义的对话框，但是出站筛选防火墙没办法帮助我们做到这点。为了解现况，向用户提供有价值的信息，我找出一家知名的基于主机的防火墙供应商的销售文档。那些图文并茂的文档阐述了防火墙的出站筛选能力和建议能力。建议能力可检测用户想要做什么，然后提供适当的建议。至少理论上如此。宣传手册中的文本还附了一张屏幕快照，内容是：“本程序尚无相关建议。请选择下面的项目，或者单击‘更多信息’获取帮助。”即使在市场营销材料中，供应商好像也无法提供参考性的对话框。

　　由于用户没有足够的信息做出适当的安全性决策，管理员只好负责配置所有出站筛选，因为最终用户没办法这么做。可这么一来，就等于无限制地加重了管理员的管理负担。

　　即使在防火墙询问时，用户单击了“否。稍后再提醒我”，恶意软件还是有办法绕过防火墙。只要被恶意代码冒充的用户可以在某个端口打开出站连接，恶意代码就可以使用那个端口。因此，任何进程都可以通过现有的进程执行。旧版的操作系统就接受这种做法。但是从 Windows Vista 开始，进程会受到适当的限制。因此，在默认情况下，受限制的服务默认由出站筛选加以阻止。

　　遗憾的是，大部分人都认为基于主机的出站防火墙筛选会阻止已受到攻击的对象攻击其他对象。这是不可能的。在已受到攻击的对象上实施保护措施，并且要求它不攻击其他任何对象，这根本就是不可能的。保护措施是对要保护的对象实施的，而不是对已经遭到破坏的对象!强盗已经进门了，再要求他们不要搞破坏，似乎太晚了;事先将他们拒之门外更务实一些。