常常有两种思路左右着我们,到底是单奔一个套装,还是自己进行合理化的组合?
这就像买电脑一样,有些人喜欢品牌机,但是总有那么多人喜欢自己组装电脑,这不是“够”或者“不够”的问题,而是个人对安全的理解、偏好以及需求共同决定。
我个人对安全的理解是:
在确定的使用环境下,安全=我们的防护体系能给大多数攻击者以不可承受的犯罪成本。
毕竟绝对的安全是不存在的,要看我们遭受的攻击是否具有针对性,当然,也要考虑到我们实际能承受的负担。
如果在资源占用合理、兼容性良好的前提下,组合确比单奔套装更优秀,那又何乐而不为呢?
如果看完上述,依然反对组合者,请绕道而行。
以下部分,是个人认为和总结的五大类比较常用和出色的安全组合思路,但并不是说只有这五类组合。
我的组合理念决不是简单的多引擎堆积,而是体系上的完善,因为大家都知道,多引擎堆积是一定边际效用递减的。
同时,本人也将给出9套解决方案,作为抛砖引玉,以满足各类人群对安软组合的需求。
目录:
第一类:纯查杀型杀软+HIPS+系统墙
第二类:纯查杀型杀软+带部分HIPS功能的防火墙
第三类:纯查杀型杀软+带防火墙的完整HIPS(3D+FW)
第四类:带部分HIPS(或主动防御)的杀软+能加强整体能力的防火墙
第五类:纯查杀型杀软+智能化IS套装的部分组件
第一类:纯查杀型杀软+HIPS+系统墙
注解:大部分时候我们不一定需要很强的第三方防火墙,特别是处于内网中,而仅仅依靠系统墙就可以达到我们想要的安全级别。
MSE+MD:可以把它叫做“MM”组合,这套组合最大的特色在于它对系统精确的控制和超低的误杀,MSE与系统的贴合能力是最好的,而由MD提供了对程序运行非常细腻的控制,我想一定会非常适合那些害怕误杀的“砖家”们,如果要简单一点的话,建议在MD中套用username大大的“大众规则”,基本就可以做到安全无恙(可以用其他的杀软比如NOD32、红伞等代替MSE,看个人喜好)。
第二类:纯查杀型杀软+带部分HIPS功能的防火墙
注解:这是比较常见的做法,用防火墙作为杀软的补充,如红伞配PCToolsFW、NOD32配Outpost等,自由度非常大。
这套组合比较特别。金山毒霸2011出来以后,确实把09的的颓势焕发一新,主要就是加了一朵“云”,但我当初也没有想到效果会这么好,查杀上去了,资源占用也小了,但毒霸的老问题比如自保弱等还是没有得到很好的解决。这里我用了一个特殊的沙盘HIPS——DefenseWall,目的有2个:
1、是加强整机的防御能力,特别是对系统关键目录、浏览器等加强防护;
2、对毒霸进行保护。
第三类:纯查杀型杀软+带防火墙的完整HIPS(3D+FW)
注解:也是比较常见的做法,如堪称经典的红豆组合,但是缺点是使用方面有一点点的麻烦,需要配一点规则才更强大,而且对使用者要求也比较高。
熊猫豆,以毛豆为原料再让熊猫云一云~
查杀方面这是我唯一的一套双本地监控,当然熊猫云是没有病毒库的,只有COMODO有。
个人认为这套组合也是非常强大的,查杀有保证,且COMODO的防御能力也是大家有目共睹的。
建议COMODO配上规则,会更加强大。这套组合比较适合有一定的判断能力的用户,如果……呵呵……没有如果,只有后果和结果(可以把熊猫云换成红伞、NOD32、Avast……按自己喜好来办)。
第四类:带部分HIPS(或主动防御)的杀软+能加强整体能力的防火墙
注解:有些杀软由于这几年技术的进步已经有了一定的HIPS或者主动防御的元素,却并不成熟,但我们可以靠第三方防火墙来进行加强。
费尔托斯特虽然有各种各样的缺点比如没有脱壳能力、自保比较烂(当然也基本上没有东西会去搞费尔)等,但是它依然可以称得上是一款非常优秀的杀软;查杀能力其实不错,功能也很丰富,而且还有一套动态防御引擎(个人认为也是一种类似于主防的东西);微点其实并不能算HIPS,个人对它的观点是属于一种“基于行为分析的杀软”,但是工作原理和传统特征码杀软又有很大的不同;在费尔和微点两重行为判断之下,能过的病毒木马已经很少了(可以用其他的杀软比如红伞、MSE等代替费尔,看个人喜好)。
A2的查杀能力大家是知道的,而OnlineArmor是官方推荐御用墙,也是世界前几的。
兼容性可以说是没有任何问题,但是A2因为有个怪才Ikarus,误杀还是比较多的。
适合喜欢追求“宁可错杀一千不放过一个”的用户,可以试一试。
这是我目前看到互补能力最强的组合之一,麦咖啡企业版有着强大的RD和FD防御。
而OP有着的很好AD和FW,正好与麦咖啡形成了一个天然的互补效应,如果是规则达人,那这个组合决不能错过。
唯一的遗憾在于麦咖啡在国内的查杀能力并不能很让人放心,但是既然是面对企业用户,一般来说误杀是比较低的(最近麦咖啡误杀事件……大家还是原谅它一次吧,人非圣贤,孰能无过呢)。
第五类:纯查杀型杀软+智能化IS套装的部分组件
注解:此方案的思路一般为高查杀但功能相对单一的杀软组合一些较为智能的互联网安全套装,以弥补套装中些许地方的不足。
NOD32高级启发具有良好的查杀能力,但由于本身功能相对单一,组合去除了文件实时监控和启发的AVG IS套装后在功能和完整度上得到了很大的补充,拥有一定的智能主动防御功能,且AVG的网页防护能力较为出色。
该组合资源占用也可以接受,智能化程度较高,很少需要用户干预。
这是本人非常看好的一套防御方案,avast仅保留网页、网络、即时消息防护组合完整的NIS2010。
由于NIS2010的整体防护能力已经较高,也具有不错的网页防护能力,但是它有一个缺点:
纯特征查杀能力相对不足,而由avast在各个网络入口再进行一道“特征码”把关。
如网页挂马、下载物中的恶意程序,使得查杀率进一步得到提升,也不会影响机器的性能。
智能化程度极高,几乎不需要用户干预。
很多人不理解为什么要“放弃”卡巴强大的本地监控而转用红伞,好像画蛇添足似的,其实不然。
卡巴的文件反病毒+虚拟机启发(也就是本地监控)确实还是有一定的卡机,并且由于卡巴实在树大招风免杀确有不少,我改用了相对冷门的红伞,不仅监控速度提升,而且免杀相对也比较少,但卡巴的网页反病毒组件依旧保留,和红伞的实时监控进行互补。
资源占用相对前两套要高一些,但是查杀能力非常可观,智能化程度较高,但是有时候卡巴的主动防御会有少量提示,但一般用户均可对付(红伞V10+卡巴2011)。
总结:
1、好的安全方案一定要适合使用者。
2、追求整体的防御效果,不要去死抠抓个别细节。
3、不要到事后再想起亡羊补牢,为时已晚。
以上文字来源于麦田守望者: