防火墙一直以来都问题不断,如今更是没有理由继续用它,因为面对现代攻击毫无效果的东西要来何用?但这种结论只适用于传统防火墙,最新世代的防火墙能提供客户端防御及网络防护,不仅有用,还是必需品。
传统防火墙擅长抵御的攻击
传统防火墙只能阻止或允许特定IP地址和端口,能防护的东西相当有限。最常见的应用场景就是阻止未授权用户或恶意软件连接未受保护的监听服务或守护进程。即便忽视路由器在IP/端口过滤上的超高效率,时代和攻击类型也发生了改变,传统防火墙如今很大程度上形同虚设。
防火墙最擅长阻止对监听服务的未授权远程连接,可以防止攻击者在连接后利用缓冲区溢出接管计算机的控制权。这正是防火墙诞生的最主要原因。有缺陷的服务太常见了,都已经被认为是常态。冲击波、Slammer蠕虫之类的恶意程序利用这些服务可以在几分钟里席卷全世界。
必须明确一点:虽然可利用的脆弱服务成百上千,但几乎全都需要本地终端用户做点儿什么才能发起攻击。要么是点击恶意链接,要么是访问挂马网站。为什么必须本地用户参与?因为只有当终端用户这么做的时候,才可以创建一条"经允许"的出站连接,然后顺理成章地再来一条"经允许"的入站连接回连到用户的计算机。如今所有攻击几乎都是"客户端"攻击,而防火墙并不擅长阻止此类连接。
端口阻塞不再有效
每个服务都用自身固定TCP/IP端口的时期,比如FTP用21/22、SMTP用25,这样说来,传统防火墙要更为有用些。
今天,全世界的网络流量大部分都走80(HTTP)和443(HTTPS)端口,而且只用后者的情况会越来越多。那些尚未走443端口的网络流量在未来几年里也会切到443上的。如果什么都绑定在少量几个端口上,那端口阻塞还有什么意义?不止如此,HTTPS默认加密的特性也会让流量过滤更难以执行。
边界正在消失
防火墙是典型的安全域边界。定义出两三个安全边界就可以用防火墙控制其间的流量。然而,这些有效的、可保安全的边界,这10年来一直在衰落。边界从来都不完美,但自从我们开始将互联网接入其他网络,开始将WiFi路由器接入各种网络,边界就真正步入消亡了。
防火墙管理糟糕
除了虚假的边界安全感,大多数防火墙还管理糟糕。几乎所有家庭用户都不知道防火墙是什么、有什么用,即便自家电脑上默认开启了防火墙,他们也从未关注或配置过。企业端的情况也不见得好到哪儿去,尽管企业安全人员有时候会自欺欺人地觉得自己做得还好。
智能防火墙怎么样?
今天的防火墙不仅仅是过滤端口和套接字,还带有VPN或HTTPS检查功能,甚至可以执行入侵检测/防御、URL过滤、上层攻击阻塞、DDoS攻击阻止和内联修复等等操作。防火墙已经进化到远远超出简单的端口和协议封禁的程度了。
IP地址和端口过滤这种传统防火墙操作已经没有太大价值,但今天的大多数防火墙所做的远不止这些。防火墙已经从严格的边界防线,进化到了内部脆弱核心的防护层。如果仔细观察如今的防火墙所提供的各种服务,你会发现用于客户端防护的和用于网络防护的几乎一样多。这是件好事儿,广受欢迎,且好处多多。
如果你正考虑购买新的防火墙,不妨关注那些提供可以消解最大风险的控制功能的(如:URL过滤、补丁发现、内联修复)。毕竟,现代防火墙不应该和父母辈用的是同款。