防火牆一直以來都問題不斷,如今更是沒有理由繼續用它,因為面對現代攻擊毫無效果的東西要來何用?但這種結論只適用於傳統防火牆,最新世代的防火牆能提供客戶端防禦及網絡防護,不僅有用,還是必需品。
傳統防火牆擅長抵禦的攻擊
傳統防火牆只能阻止或允許特定IP地址和端口,能防護的東西相當有限。最常見的應用場景就是阻止未授權用戶或惡意軟件連接未受保護的監聽服務或守護進程。即便忽視路由器在IP/端口過濾上的超高效率,時代和攻擊類型也發生了改變,傳統防火牆如今很大程度上形同虛設。
防火牆最擅長阻止對監聽服務的未授權遠程連接,可以防止攻擊者在連接後利用緩衝區溢出接管計算機的控制權。這正是防火牆誕生的最主要原因。有缺陷的服務太常見了,都已經被認為是常態。衝擊波、Slammer蠕蟲之類的惡意程序利用這些服務可以在幾分鐘裡席捲全世界。
必須明確一點:雖然可利用的脆弱服務成百上千,但幾乎全都需要本地終端用戶做點兒什麼才能發起攻擊。要麼是點擊惡意鏈接,要麼是訪問掛馬網站。為什麼必須本地用戶參與?因為只有當終端用戶這麼做的時候,才可以創建一條"經允許"的出站連接,然後順理成章地再來一條"經允許"的入站連接回連到用戶的計算機。如今所有攻擊幾乎都是"客戶端"攻擊,而防火牆並不擅長阻止此類連接。
端口阻塞不再有效
每個服務都用自身固定TCP/IP端口的時期,比如FTP用21/22、SMTP用25,這樣說來,傳統防火牆要更為有用些。
今天,全世界的網絡流量大部分都走80(HTTP)和443(HTTPS)端口,而且只用後者的情況會越來越多。那些尚未走443端口的網絡流量在未來幾年裡也會切到443上的。如果什麼都綁定在少量幾個端口上,那端口阻塞還有什麼意義?不止如此,HTTPS默認加密的特性也會讓流量過濾更難以執行。
邊界正在消失
防火牆是典型的安全域邊界。定義出兩三個安全邊界就可以用防火牆控制其間的流量。然而,這些有效的、可保安全的邊界,這10年來一直在衰落。邊界從來都不完美,但自從我們開始將互聯網接入其他網絡,開始將WiFi路由器接入各種網絡,邊界就真正步入消亡了。
防火牆管理糟糕
除了虛假的邊界安全感,大多數防火牆還管理糟糕。幾乎所有家庭用戶都不知道防火牆是什麼、有什麼用,即便自家電腦上默認開啟了防火牆,他們也從未關注或配置過。企業端的情況也不見得好到哪兒去,儘管企業安全人員有時候會自欺欺人地覺得自己做得還好。
智能防火牆怎麼樣?
今天的防火牆不僅僅是過濾端口和套接字,還帶有VPN或HTTPS檢查功能,甚至可以執行入侵檢測/防禦、URL過濾、上層攻擊阻塞、DDoS攻擊阻止和內聯修復等等操作。防火牆已經進化到遠遠超出簡單的端口和協議封禁的程度了。
IP地址和端口過濾這種傳統防火牆操作已經沒有太大價值,但今天的大多數防火牆所做的遠不止這些。防火牆已經從嚴格的邊界防線,進化到了內部脆弱核心的防護層。如果仔細觀察如今的防火牆所提供的各種服務,你會發現用於客戶端防護的和用於網絡防護的幾乎一樣多。這是件好事兒,廣受歡迎,且好處多多。
如果你正考慮購買新的防火牆,不妨關注那些提供可以消解最大風險的控制功能的(如:URL過濾、補丁發現、內聯修復)。畢竟,現代防火牆不應該和父母輩用的是同款。
閱讀更多 網絡安全焦點 的文章
