你的防火墻還在運行嗎?那你可得多留神……呵呵別介意,這只是個陳舊的、無傷大雅的玩笑哈。
不過說真的,你的防火墻對網絡安全起到什么作用了嗎?一點沒有。如今有那么多的攻擊通過80端口,你的防火墻提供過任何有效的防御嗎?防火墻的有效性可謂大而不當,早已被新一代的復雜攻擊所繞過。這就是微軟安全專家Roger Grimes的觀點。
今年5月,Roger在IDG集團的Infoworld網站上撰寫了一篇文章,由此在安全行業引起了一場空前激烈的大討論,當時他提出了一個非常激進的觀點:防火墻已死。在安全領域,圍繞這樣一種所謂“異端邪說”,展開了激烈的、反反復復的論戰。為此,Roger又寫了第二篇文章再次闡述其觀點,對他第一篇文章所引起的一些合理的反響一一作了回應。
人們當然有權認為某些安全技術在某個時刻已經死亡。我的朋友Richard Stiennon在這方面也很有名。實際上,我就問過Richard防火墻是否已經死了,他說除非由他來說死沒死,否則不會有什么安全技術已經死了。
然而,問題依然存在。防火墻是不是已經無法跟得上最新型攻擊的變化速度?你說有下一代防火墻(NGFW)?據Roger說,雖然安全廠商已經賣出了大量的下一代防火墻,但他從未見過有誰真正用過這些防火墻。我對入侵防御系統(IPS)也有過類似的體驗,那時正是從IDS向IPS轉型的時期。
所以我想在此多少深究一下。我邀請了Roger和一些朋友共同來討論防火墻到底還有沒有用。參與討論的除了Roger、我,還有Firemon公司的總裁Jody Brazil和長期跟蹤安全行業的分析師Andrew Braunberg。我還邀請了Richard Stiennon,但是Richasrd正忙于推銷他的新書《向上并向右》,沒有前來參與。
Jody在Firemon的博客上針對Roger的第一篇文章寫了一篇理由充分的回應文章。說他雖然可以理解Roger的觀點,但是并不同意他的說法。Firemon一直在與Palo Alto以及其他NGFW廠商合作,他的看法是,已經有大量的NGFW已經就位而且在發揮著作用。Andrew作為分析師,說Roger雖然可能有一些關于防火墻的內幕證據,然而整體的市場數據并不支持他的觀點。1996年,Andrew針對防火墻做過的第一批研究報告應該說已經過時了,但是Andrew認為這些報告肯定沒有過時,即便是現在也沒有過時。
我的觀點是,防火墻成了它自身成功的犧牲品。是的,我們已經看不到有人再使用那些老式的緩沖區溢出的攻擊方法了,但或許正是防火墻讓此類方法難以得逞吧。當然,如今的軟件也編寫得更安全,也有助于防范此類威脅。但是無論怎么說防火墻整體上還是發揮了極大的作用,阻礙了這些傳統攻擊類型發動的攻擊。可以說正是進化論在起作用,防火墻的成功逼迫惡意軟件的作者們不得不采取更有創意的方法去設計惡意軟件以便繞過防火墻。但是我們現在又有了具備應用感知功能的下一代防火墻,可以承諾抵御這些新類型的威脅。我認為,如果去掉防火墻,那我們很快就會看到那些傳統的威脅模式再次出現。
Jody Brazil持另一種觀點。他認為防火墻的作用是巨大的。在很多方面其作用就在于訪問控制。即便你沒有用它來禁止惡意軟件,你也仍然在用它來控制進出網絡的數據。而云則代表著一類完全不同的攻擊類型。至于防火墻在云時代如何發揮作用那是另一回事了。
京公網安備 11010502049343號