一直以來,防火墻的爭議不斷,許多接入商都不愿意使用防火墻了,認(rèn)為防火墻會影響網(wǎng)站打開速度等等,但是這種問題只存在于傳統(tǒng)防火墻,傳統(tǒng)防火墻主要是抵御各方面的攻擊,而現(xiàn)代防火墻能能提供客戶端防御及網(wǎng)絡(luò)防護(hù),不僅有用,還是必需品。
一直以來,防火墻的爭議不斷,許多接入商都不愿意使用防火墻了,認(rèn)為防火墻會影響網(wǎng)站打開速度等等,但是這種問題只存在于傳統(tǒng)防火墻,傳統(tǒng)防火墻主要是抵御各方面的攻擊,而現(xiàn)代防火墻能能提供客戶端防御及網(wǎng)絡(luò)防護(hù),不僅有用,還是必需品。
傳統(tǒng)防火墻擅長抵御的攻擊
傳統(tǒng)防火墻只能阻止或允許特定IP地址和端口,能防護(hù)的東西相當(dāng)有限。最常見的應(yīng)用場景就是阻止未授權(quán)用戶或惡意軟件連接未受保護(hù)的監(jiān)聽服務(wù)或守護(hù)進(jìn)程。即便忽視路由器在IP/端口過濾上的超高效率,時代和攻擊類型也發(fā)生了改變,傳統(tǒng)防火墻如今很大程度上形同虛設(shè)。
20年前,阻止未授權(quán)連接很有意義。大多數(shù)計算機(jī)都防護(hù)不嚴(yán),口令也弱,不僅滿載渾身漏洞的軟件,還往往開放有允許任何人登錄或連接的服務(wù)。發(fā)個畸形網(wǎng)絡(luò)包就能搞掉普通的服務(wù)器,而且這還是在管理員沒設(shè)置允許匿名連接的完全管理員權(quán)限遠(yuǎn)程服務(wù)的情況下才需要,如果設(shè)了這種遠(yuǎn)程管理服務(wù),那基本上可以隨隨便便摸進(jìn)服務(wù)器。至于Windows的匿名NETBIOS連接,在 Windows XP 默認(rèn)禁止前的15年里,一直都是黑客的寶貴財富。
如果你的防火墻只是用于封禁未授權(quán)IP地址或協(xié)議,那用個路由器會好得多,也快得多。計算機(jī)安全界有句格言:“首選最快最簡單的方法。”說的就是這個道理,如果有什么東西是可以用更快更有效率的設(shè)備加以封堵的,那就將那臺設(shè)備用作你的第一道防線。這樣會更快更有效率地摒除更多你不想要的流量。路由器的“上層”代碼要比防火墻少很多,規(guī)則列表也更短。路由器的條件決策循環(huán)比防火墻快上幾個數(shù)量級。不過,如今的威脅環(huán)境下,還需不需要封禁這些未授權(quán)連接,這一點難說。
防火墻最擅長阻止對監(jiān)聽服務(wù)的未授權(quán)遠(yuǎn)程連接,可以防止攻擊者在連接后利用緩沖區(qū)溢出接管計算機(jī)的控制權(quán)。這正是防火墻誕生的最主要原因。有缺陷的服務(wù)太常見了,都已經(jīng)被認(rèn)為是常態(tài)。沖擊波、Slammer蠕蟲之類的惡意程序利用這些服務(wù)可以在幾分鐘里席卷全世界。
現(xiàn)在的服務(wù)并沒有那么脆弱。程序員如今使用的編程語言默認(rèn)就會檢查緩沖區(qū)溢出。用來阻止傳統(tǒng)漏洞利用方法的其他操作系統(tǒng)計算機(jī)安全措施也很擅長做這事兒。微軟每年都能在其產(chǎn)品線上發(fā)現(xiàn)130-150個漏洞。自2003年算起,發(fā)現(xiàn)的漏洞數(shù)約2000個。但只有5-10個是僅供遠(yuǎn)程利用的。同一時期,蘋果和Linux機(jī)器的漏洞更多,但僅可遠(yuǎn)程利用的漏洞進(jìn)程占比是一樣的。
必須明確一點:雖然可利用的脆弱服務(wù)成百上千,但幾乎全都需要本地終端用戶做點兒什么才能發(fā)起攻擊。要么是點擊惡意鏈接,要么是訪問掛馬網(wǎng)站。為什么必須本地用戶參與?因為只有當(dāng)終端用戶這么做的時候,才可以創(chuàng)建一條“經(jīng)允許”的出站連接,然后順理成章地再來一條“經(jīng)允許”的入站連接回連到用戶的計算機(jī)。如今所有攻擊幾乎都是“客戶端”攻擊,而防火墻并不擅長阻止此類連接。
端口阻塞不再有效
每個服務(wù)都用自身固定TCP/IP端口的時期,比如FTP用21/22、SMTP用25,這樣說來,傳統(tǒng)防火墻要更為有用些。
今天,全世界的網(wǎng)絡(luò)流量大部分都走80(HTTP)和443(HTTPS)端口,而且只用后者的情況會越來越多。那些尚未走443端口的網(wǎng)絡(luò)流量在未來幾年里也會切到443上的。如果什么都綁定在少量幾個端口上,那端口阻塞還有什么意義?不止如此,HTTPS默認(rèn)加密的特性也會讓流量過濾更難以執(zhí)行。
邊界正在消失
防火墻是典型的安全域邊界。定義出兩三個安全邊界就可以用防火墻控制其間的流量。然而,這些有效的、可保安全的邊界,這10年來一直在衰落。邊界從來都不完美,但自從我們開始將互聯(lián)網(wǎng)接入其他網(wǎng)絡(luò),開始將WiFi路由器接入各種網(wǎng)絡(luò),邊界就真正步入消亡了。
只有一兩個網(wǎng)絡(luò)邊界時,防火墻還能有點用,但當(dāng)我們開始添加“隔離區(qū)(DMZ)”和其他“授權(quán)網(wǎng)絡(luò)”時,防火墻就顯得不夠用了。而當(dāng)長期聯(lián)網(wǎng)成為常態(tài),我們不得不承認(rèn),邊界和傳統(tǒng)防火墻的末日到了。
長期以來,很多IT安全人員都認(rèn)為我們還擁有安全邊界,但只要一審計,就會發(fā)現(xiàn)這些邊界根本就漏得跟篩子一樣。因為怕破壞了某些關(guān)鍵服務(wù)或應(yīng)用,網(wǎng)絡(luò)管理員基本上都會放行每個未定義的流量路徑。
防火墻管理糟糕
除了虛假的邊界安全感,大多數(shù)防火墻還管理糟糕。幾乎所有家庭用戶都不知道防火墻是什么、有什么用,即便自家電腦上默認(rèn)開啟了防火墻,他們也從未關(guān)注或配置過。企業(yè)端的情況也不見得好到哪兒去,盡管企業(yè)安全人員有時候會自欺欺人地覺得自己做得還好。
企業(yè)防火墻正確配置的情況真的很少見,一半以上都部署的是瘋狂的“任意()”規(guī)則,完全失去了設(shè)置防火墻的意義。絕大多數(shù)防火墻允許的流量通路和協(xié)議都比業(yè)務(wù)所需范圍要廣得多。而且,即使防火墻最初是正確配置的,只需一年時間,大多數(shù)企業(yè)就不得不為自己造成的防火墻配置泥潭花錢購買可以更好地管理防火墻配置的軟件。未授權(quán)配置更改讓公司企業(yè)無暇顧及怎么用防火墻保護(hù)自身安全。
糟糕的日志也是傳統(tǒng)防火墻痛點之一。絕大多數(shù)防火墻日志都包含百萬條事件記錄,雖然記錄詳盡準(zhǔn)確,但對真正的安全防護(hù)來說毫無用處。防火墻的“噪音”實在太大,管理員應(yīng)該注意的潛在有用事件反而被淹沒了。
另外,企業(yè)防火墻的修復(fù)情況也不容樂觀。保持更新,完全修復(fù)的防火墻少之又少。很多設(shè)備防火墻中存在公開已知漏洞。這些防火墻已經(jīng)不是安全防線,反而成為了潛在的攻擊界面。
智能防火墻怎么樣?
今天的防火墻不僅僅是過濾端口和套接字,還帶有VPN或HTTPS檢查功能,甚至可以執(zhí)行入侵檢測/防御、URL過濾、上層攻擊阻塞、DDoS攻擊阻止和內(nèi)聯(lián)修復(fù)等等操作。防火墻已經(jīng)進(jìn)化到遠(yuǎn)遠(yuǎn)超出簡單的端口和協(xié)議封禁的程度了。
IP地址和端口過濾這種傳統(tǒng)防火墻操作已經(jīng)沒有太大價值,但今天的大多數(shù)防火墻所做的遠(yuǎn)不止這些。防火墻已經(jīng)從嚴(yán)格的邊界防線,進(jìn)化到了內(nèi)部脆弱核心的防護(hù)層。如果仔細(xì)觀察如今的防火墻所提供的各種服務(wù),你會發(fā)現(xiàn)用于客戶端防護(hù)的和用于網(wǎng)絡(luò)防護(hù)的幾乎一樣多。這是件好事兒,廣受歡迎,且好處多多。
如果你正考慮購買新的防火墻,不妨關(guān)注那些提供可以消解最大風(fēng)險的控制功能的(如:URL過濾、補(bǔ)丁發(fā)現(xiàn)、內(nèi)聯(lián)修復(fù))。畢竟,現(xiàn)代防火墻不應(yīng)該和父母輩用的是同款。
河南億恩科技股份有限公司(www.23lll.com)始創(chuàng)于2000年,專注服務(wù)器托管租用,是國家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù),另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù),使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時售后服務(wù)電話:
0371-60135900
虛擬主機(jī)/智能建站 24小時售后服務(wù)電話:
0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報電話:
0371-60135995
服務(wù)熱線:
0371-60135900
