关于防火墙一直存在争议。很多接入商不愿意使用防火墙,认为会影响网站的打开速度。但是,这个问题只存在于传统防火墙中。传统防火墙主要抵御各种攻击。防火墙可以提供客户端防御和网络保护,这不仅是有用的,而且是必要的。
传统防火墙擅长的攻击
传统的防火墙只能阻止或允许特定的IP地址和端口,能够保护的东西非常有限。最常见的应用场景是防止未经授权的用户或恶意软件连接到不受保护的监控服务或守护程序。就算忽略路由器在IP/端口过滤方面的超级效率,攻击的时间和类型都变了,传统防火墙现在基本没用了。
二十年前,防止未经授权的连接是有意义的。大多数计算机都没有得到很好的保护,密码也很弱。它们不仅充满漏洞,而且经常开放的服务允许任何人登录或连接。发送格式错误的网络数据包可以摆脱普通服务器的干扰,前提是管理员没有设置管理员权限的远程服务允许匿名连接。如果设置了这个远程管理服务,基本上就可以用了。随意进入服务器。至于Windows的匿名NETBIOS连接,在Windows XP默认禁止之前,15年来一直是黑客的宝贵财富。
如果你的防火墙只是用来屏蔽未授权的IP地址或协议,路由器会变得更好更快。计算机安全行业的座右铭是:“首选最快最简单的方法。”这是事实。如果可以用更快更有效的设备来阻止某些事情,那么就把这个设备作为你的第一道防线。这样可以更快更高效的淘汰更多你不需要的流量。路由器的“上层”代码比防火墙少很多,规则列表也更短。路由器的条件决策周期比防火墙快几个数量级。然而,在当今的威胁环境中,很难说这些未经授权的连接是否需要被阻止。
防火墙最擅长阻止未经授权的远程连接来监控服务,从而防止攻击者在连接后利用缓冲区溢出来控制计算机。这是防火墙诞生的主要原因。有缺陷的服务如此普遍,以至于已经被视为常态。Shockwave、Slammer worm等恶意程序利用这些服务在几分钟内席卷全球。
现在的服务还没那么脆弱。现在编程语言的程序员默认使用检查缓冲区溢出的方法。用于防止传统漏洞利用方法的其他操作系统计算机安全措施在这方面也非常出色。微软每年在其产品线中发现130-150个漏洞。自2003年以来,已经发现了大约2000个漏洞。但是只有5-10只用于远程使用。同期苹果和Linux机器的漏洞更多,但是只能远程利用的漏洞比例是一样的。
必须明确:尽管有数百种易受攻击的服务可用,但几乎所有服务都需要本地最终用户采取某种措施来发起攻击。单击恶意链接或访问链接到马的网站。为什么本地用户必须参加?因为只有当最终用户这样做时,才能创建“允许的”入站连接,然后将另一个“允许的”入站连接返回到用户计算机是合乎逻辑的。如今,几乎所有攻击都是“客户端”攻击,防火墙不擅长阻止此类连接。
端口阻塞不再有效必须明确的是:虽然有数百种易受攻击的服务可用,但几乎所有的服务都需要本地最终用户采取一些措施来发起攻击。点击恶意链接或访问链接到该马的网站。为什么本地用户必须参加?因为只有当最终用户这样做时,才能创建一个“允许的”入站连接,然后将另一个“允许的”入站连接返回到用户的计算机是合乎逻辑的。现在几乎所有的攻击都是“客户端”攻击,防火墙并不擅长拦截这种连接。端口阻塞不再有效。
每个服务在一段时间内使用自己的固定TCP/IP端口,例如FTP使用21/22,SMTP使用25。这样,传统的防火墙就更有用了。
现在世界上大部分网络流量都使用80端口(HTTP)和443端口(HTTPS),越来越多的情况下只会使用后者。未来几年,不占用443端口的网络流量将减少到443。如果所有东西都绑定了几个端口,那么端口阻塞的目的是什么?此外,HTTPS的默认加密功能也使流量过滤更难执行。
边界正在消失。
防火墙是典型的安全域边界。通过定义两个或三个安全边界,防火墙可以用来控制它们之间的通信。然而,在过去的十年里,这些有效的和可保的边界一直在下降。界限从来都不是完美的,但是自从我们开始把互联网连接到其他网络,把WiFi路由器连接到各种网络,界限确实消失了。
防火墙在只有一两个网络边界的时候还是有用的,但是当我们开始增加“DMZ”等“授权网络”的时候,防火墙就不够用了。当长期联网成为常态,我们必须承认,边界和传统防火墙的末日已经到来。
长期以来,很多IT安全人员认为我们还是有安全边界的,但是只要去审计,就会发现这些边界漏得像筛子一样。由于担心一些关键服务或应用被破坏,网络管理员基本上会释放所有未定义的流量路径。
防火墙管理不善
除了对外围安全的误解,大多数防火墙管理不善。几乎所有的家庭用户都不知道什么是防火墙,也不知道它的用途。即使计算机上的防火墙默认是打开的,他们也从未注意到或配置过防火墙。虽然企业安全人员有时候会自欺欺人,认为自己做得很好,但是企业里的情况不一定好到哪里去。
很少能正确配置公司防火墙。其中一半以上部署了疯狂的“arbitrary()”规则,从而完全失去了设置防火墙的意义。大多数防火墙允许的通信路径和协议比企业要求的要宽得多。此外,即使一开始防火墙配置得当,在短短一年内,大多数公司仍将不得不花钱购买自己的防火墙配置,以购买能够更好地管理防火墙配置的软件。未经授权的配置更改使得公司无法考虑如何使用防火墙来保护自己的安全。
错误日志也是传统防火墙的痛点之一。大多数防火墙日志包含数百万条事件记录。记录虽然详细准确,但对于真正的安全防护毫无用处。防火墙的“噪音”太大,把管理员应该关注的潜在有用事件淹没了。
此外,企业防火墙的恢复情况也不容乐观。保持最新,几乎没有完全修复的防火墙。许多设备防火墙都有众所周知的漏洞。这些防火墙不再是安全防线,而是成为了潜在的攻击接口。
智能防火墙呢?
现在的防火墙不仅可以过滤端口和套接字,还可以检查VPN或HTTPS,甚至可以执行入侵检测/预防、URL过滤、上层攻击预防、DDoS攻击预防和内联修复等操作。防火墙已经远远超出了简单的端口和协议封锁的范围。
传统的防火墙操作,如IP地址和端口过滤,没有价值,但今天,大多数防火墙做得更多。防火墙从一个严密的防御边界演变成了内部脆弱的核心保护层。如果您仔细观察当今防火墙提供的各种服务,您会发现几乎所有的客户端保护都与网络保护一样多。这是好事。它很受欢迎,有很多好处。
如果您正在考虑购买新的防火墙,则可能需要注意那些提供可以消除最大风险的控制功能的工具(例如URL过滤,补丁发现,内联修复)。毕竟,现代防火墙不应与父母使用的防火墙相同。
本文来自挽梦忆笙歌投稿,不代表舒华文档立场,如若转载,请注明出处:https://www.chinashuhua.cn/24/482718.html
微信扫一扫 
