关于防火墙一直存在争议。许多访问提供者都不愿意使用防火墙,他们认为防火墙会影响网站的打开速度等。但是,此问题仅存在于传统防火墙中。传统防火墙主要抵御各种攻击。防火墙可以提供客户端防御和网络保护,这不仅有用,而且是必需的。
传统防火墙擅长的攻击
传统的防火墙只能阻止或允许特定的IP地址和端口,并且可以保护的东西非常有限。最常见的应用场景是防止未经授权的用户或恶意软件连接到不受保护的监视服务或守护程序。即使忽略路由器在IP /端口过滤方面的超高效率,攻击的时间和类型也已改变,并且传统的防火墙现在基本上已无用。
二十年前,防止未经授权的连接很有意义。大多数计算机保护不力,并且密码较弱。它们不仅充满漏洞,而且经常开放的服务允许任何人登录或连接。发送格式错误的网络数据包可以摆脱普通服务器的干扰,只有在管理员尚未设置具有允许匿名连接的管理员权限的远程服务时,才需要这样做。如果设置了这种远程管理服务,则基本上可以使用。随意进入服务器。至于Windows的匿名NETBIOS连接,在Windows XP默认禁止它之前15年来,它一直是黑客的宝贵资产。
如果您的防火墙仅用于阻止未经授权的IP地址或协议,则路由器将变得更好,更快。计算机安全行业的座右铭是:“首选最快,最简单的方法。”这是事实。如果某些东西可以用更快,更高效的设备阻止,则将该设备用作您的第一道防线。这样可以更快,更高效地消除您不需要的更多流量。路由器的“上层”代码比防火墙的代码少得多,并且规则列表更短。路由器的条件决策周期比防火墙快几个数量级。但是,在当今的威胁环境中,很难说是否需要阻止这些未经授权的连接。
防火墙最擅长防止未经授权的远程连接来监视服务,从而可以防止攻击者利用缓冲区溢出来控制连接后对计算机的控制。这是防火墙诞生的主要原因。有缺陷的服务太普遍了,已被视为规范。诸如Shockwave和Slammer蠕虫之类的恶意程序使用这些服务在几分钟之内席卷了整个世界。
当前的服务还不那么脆弱。如今,编程语言的程序员默认使用检查缓冲区溢出的方法。用于阻止传统漏洞利用方法的其他操作系统计算机安全措施也非常擅长于此。 Microsoft每年在其产品线中发现130-150个漏洞。自2003年以来,已发现约2000个漏洞。但是只有5-10个仅用于远程使用。在同一时期,Apple和Linux机器具有更多漏洞,但只能远程利用的漏洞所占的比例是相同的。
必须明确:尽管有数百种易受攻击的服务可用,但几乎所有服务都需要本地最终用户采取某种措施来发起攻击。单击恶意链接或访问链接到马的网站。为什么本地用户必须参加?因为只有当最终用户这样做时,才能创建“允许的”入站连接,然后将另一个“允许的”入站连接返回到用户计算机是合乎逻辑的。如今,几乎所有攻击都是“客户端”攻击,防火墙不擅长阻止此类连接。
端口阻塞不再有效
每个服务使用其自己的固定TCP / IP端口时间段,例如对于FTP为21/22,对于SMTP为25。这样,传统防火墙就更有用。
如今,世界上大多数网络流量都使用端口80(HTTP)和443(HTTPS),并且越来越多的情况将仅使用后者。在接下来的几年中,那些尚未占用端口443的网络流量将减少为443。如果一切都绑定到几个端口,端口阻塞的目的是什么?不仅如此,HTTPS的默认加密功能还使流量过滤更加难以执行。
边界正在消失
防火墙是典型的安全域边界。通过定义两个或三个安全边界,防火墙可用于控制它们之间的通信。但是,在过去的十年中,这些有效而可保的界限一直在下降。边界从来都不是完美的,但是自从我们开始将Internet连接到其他网络并将WiFi路由器连接到各种网络以来,边界确实消失了。
当只有一个或两个网络边界时,防火墙仍然有用,但是当我们开始添加“ DMZ”和其他“授权网络”时,防火墙是不够的。当长期联网成为常态时,我们必须承认边界和传统防火墙的终结已经到来。
长期以来,许多IT安全人员认为我们仍然存在安全边界,但是只要进行审核,他们就会发现这些边界就像筛子一样在泄漏。由于担心会破坏某些关键服务或应用程序,网络管理员将基本上释放所有未定义的流量路径。
防火墙管理不善
除了对外围安全有误解外,大多数防火墙的管理也很差。几乎所有家庭用户都不知道防火墙是什么以及防火墙的用途。即使默认情况下,计算机上的防火墙处于打开状态,他们也从未注意或配置过防火墙。尽管企业安全人员有时会欺骗自己并认为自己做得很好,但企业方面的情况不一定会好得多。
正确配置公司防火墙的情况很少见。其中超过一半的人部署了疯狂的“任意()”规则,从而完全失去了设置防火墙的含义。大多数防火墙允许的通信路径和协议比企业所需的通信路径和协议宽得多。此外,即使最初正确配置了防火墙,在短短的一年内,大多数公司仍将不得不花钱购买自己创建的防火墙配置,以购买可以更好地管理防火墙配置的软件。未经授权的配置更改使公司没有时间考虑如何使用防火墙来保护自己的安全。
错误的日志也是传统防火墙的痛点之一。大多数防火墙日志包含数百万个事件记录。尽管记录是详细和准确的,但它们对于真正的安全保护是没有用的。防火墙的“噪音”太大,管理员应注意的潜在有用事件已不堪重负。
此外,企业防火墙的恢复也不容乐观。保持最新状态,几乎没有完全修复的防火墙。许多设备防火墙都有众所周知的漏洞。这些防火墙不再是安全防护线,而是已成为潜在的攻击接口。
那么智能防火墙呢?
当今的防火墙不仅可以过滤端口和套接字,还具有VPN或HTTPS检查功能,甚至可以执行诸如入侵检测/防御,URL过滤,上层攻击阻止,DDoS攻击防护和内联修复等操作。防火墙已经远远超出了简单的端口和协议阻止的范围。
IP地址和端口过滤之类的传统防火墙操作没有任何价值,但是当今大多数防火墙的作用远不止这些。防火墙已从严格的防御边界演变为内部脆弱的核心保护层。如果仔细观察当今防火墙提供的各种服务,您会发现几乎所有的客户端保护都与网络保护一样多。这是一件好事,它很受欢迎,并且有很多好处。
如果您正在考虑购买新的防火墙,则可能需要注意那些提供可以消除最大风险的控制功能的工具(例如URL过滤,补丁发现,内联修复)。毕竟,现代防火墙不应与父母使用的防火墙相同。