防火墙一直以来都是问题,但现在没有理由使用它。 对现代攻击没有效果的东西用于什么? 但是,这个结论只适用于传统的防火墙,最新一代的防火墙能够提供客户端防御和网络保护,不仅有用,而且也是必需品。
传统防火墙擅长的攻击
传统的防火墙只需阻止或允许特定的IP地址和端口,就可以受到有限的保护。 最常见的应用程序方案是防止未经授权的用户或恶意软件连接到未受保护的截取服务或守护进程。 即使无视路由器在IP/端口过滤中的超高效率,时代和攻击的类型也会发生变化,传统的防火墙现在已经变成了很大的虚拟。
20年前,阻止不正当的连接是有意义的。 大多数计算机没有受到保护,密码也很弱,不仅包括软件脆弱,而且通常还开放允许任何人登录或连接的服务。 只有在管理员没有设置用于授权匿名连接的完整的管理员权限的远程服务的情况下才可以处理发行畸变的网络分组通常的服务器,并且因此设置这样的远程管理服务基本上能够随意访问该服务器。 对于Windows匿名NETBIOS连接,在默认情况下禁止Windows XP之前的15年间,它已成为黑客的宝贵财富。
如果防火墙只阻止未经授权的IP地址或协议,则使用路由器的速度会更快。 计算机安全界有句格言。 “请选择最快最简单的方法。 ”其理由是,如果有什么东西可以更快、更高效的设备阻塞,那么就把这个设备作为你的第一道防线。 这样可以更快、更高效地消除更多不必要的流量。 路由器的“上层”代码比防火墙少得多,规则列表也短。 路由器的条件决策周期比防火墙快几个阶段。 然而,很难说在当前的威胁环境中,没有必要阻止这些不正当的连接。
防火墙最擅长阻止未授权的到截取服务的远程连接,并且可以防止攻击者在其连接后利用缓冲溢出来继承计算机的控制权。 这是防火墙诞生的主要原因。 有缺陷的服务很常见,已经被视为常态。 冲击波和Slammer蠕虫等恶意程序利用这些服务几分钟就能席卷全世界。
现在的服务并不那么脆弱。 缺省情况下,程序员当前使用的编程语言检查缓冲区溢出。 还擅长为了阻止以往脆弱性利用方法的其他OS计算机的安全对策。 微软每年在产品网上发现130-150个漏洞。 2003年发现的脆弱性数目约为2000个。 但是,只有5-10个是远程使用的。 同一时期,苹果和Linux设备的漏洞很多,但只有远程可用的漏洞流程是相同的。
可用的脆弱服务数以百计,但要发起攻击,几乎所有的本地用户都必须明确必须做些什么。 单击恶意链接还是访问挂马站点。 为什么本地用户需要参加? 因为只有在最终用户这样做时,才能创建“允许”出站连接,并将“允许”入站连接按顺序返回到用户的计算机。 现在所有的攻击都是“客户端”攻击,但防火墙不善于阻止这种连接。
端口阻塞已禁用
在各服务独立地固定TCP/IP端口的时期,例如FTP用21/22、SMTP用25等,现有的防火墙更有用。
当今世界上大部分的网络通信量都通过80(HTTP )和443(HTTPS )端口,并且越来越多的情况仅限于后者。 未走过443个端口的网络流量在未来几年将达到443个。 如果某个端口绑定到少量端口,该端口被阻止的意思是什么? 此外,HTTPS的默认加密功能还会使流量过滤变得困难。
边界消失了
防火墙是常见的安全域边界。 通过定义两三个安全边界,防火墙可以控制它们之间的通信。 但是,这些有效和安全的边界,近十年来一直在衰退。 尽管边界并不完美,但自从我们开始将互联网连接到其他网络并将WiFi路由器连接到各种网络以来,边界确实消失了。
如果存在一个或两个网络边界,则防火墙工作正常,但如果您开始添加DMZ或其他认证网络,则防火墙工作不正常。 要承认长期网络成为常态,边界和传统防火墙的终结就到了。
很长一段时间以来,很多IT安全人员都认为我们还有安全的界限,但经过审计,发现那个界限像筛子一样漏掉了。 网络管理员基本上可以释放所有未定义的通信路径,因为它们可能会破坏特定的关键服务和应用程序。
防火墙管理不良
除了假边界的安全感,大多数防火墙都管理不好。 大多数家庭用户不知道防火墙是什么还是什么,即使在自己家中的计算机上默认打开了防火墙,他们也从不介意。 企业方面的情况也不一定要去哪里。 尽管企业的安全人员觉得自己做得很好。
企业防火墙的正确配置很少见,一半以上都是疯狂的“任意()」规则,完全丧失了设置防火墙的意义。 在大多数防火墙中,通信路径和协议远远超出业务所需的范围。 另外,即使防火墙最初正确放置,仅仅一年,许多企业都必须购买能够更好地管理防火墙放置的软件,以便在自己引起的防火墙上放置泥潭。 非法的配置更改不需要考虑企业如何通过防火墙保护自己。
坏日志也是传统防火墙的痛处之一。 大多数防火墙日志都包含数百万个事件日志,详细信息是准确的,但对真正的安全性没有帮助。 防火墙的“噪音”太大,管理者应该注意的潜在的有用事件反而被淹没了。
此外,企业防火墙的修复情况也不乐观。 保持更新,完全修复的防火墙很少。 许多设备的防火墙都有公开已知的漏洞。 这些防火墙已经不再是安全的防线,而是潜在的攻击界面。
智能防火墙怎么样?
当今的防火墙不仅可以过滤端口和套接字,而且还提供VPN和HTTPS检查功能,用于入侵检测/防御、URL过滤、高级攻击块、DDoS攻击块和在线修复。 防火墙的发展远远超过了简单端口和协议的阻塞。
传统的防火墙操作( IP地址和端口筛选)没有什么价值,但是今天大多数防火墙不仅如此。 防火墙从严格的边界防线演化为内部脆弱的核心防护层。 仔细观察当前防火墙提供的各种服务,可以看出客户端保护和网络保护的数量几乎相同。 这是件好事,很受欢迎,利润很大。
请注意,如果您正在考虑购买新的防火墙,则可以提供控制功能(例如URL过滤、修补程序检测和内联修复),以帮助您消除最大风险。 毕竟,现代的防火墙不应该和父母一代使用同样的金钱。