防火墻讓網絡固若金湯?
防火墻作為網絡安全體系的基礎和核心控制設備,貫穿于受控網絡通信主干線,它對通過受控干線的任何通信行為進行安全處理,同時也承擔著繁重的通信任務。可是傳統意義上的包過濾防火墻有很多弊病:在通信方面,包過濾防火墻只能訪問部分數據包的頭信息;在狀態監管方面,包過濾防火墻是無狀態的,所以它不可能保存來自于通信和應用的狀態信息;在信息處理方面的能力也是有限的。
比如Unicode攻擊,以及“代碼注入技術”,因為這種攻擊是選擇了防火墻所允許的80端口,而包過濾的防火墻無法對數據包內容進行核查,因此此時防火墻等同于虛設,即使在防火墻的屏障之后,也會被攻擊者輕松拿下超級用戶的權限。
1.防火墻是一個靜態的設備
隨著信息技術的發展與應用,信息安全的內涵在不斷的延伸,從最初的信息保密性發展到信息的完整性、可用性、可控性和不可否認性,進而又發展為“攻(攻擊)、防(防范)、測(檢測)、控(控制)、管(管理)、評(評估)”等多方面的基礎理論和實施技術。傳統的信息安全技術都集中在系統本身的加固和防護上,如采用安全級別高的操作系統與數據庫,在網絡的出口處配置防火墻,在信息傳輸和存儲方面采用加密技術,使用集中的身份認證產品等。傳統的信息系統安全模型是針對單機系統環境而制定的,對網絡環境安全并不能很好描述,并且對動態的安全威脅、系統的脆弱性沒有應對措施,傳統的安全模型是靜態安全模型。但隨著網絡的深入發展,它已無法完全反應動態變化的互聯網安全問題。
傳統的計算機安全模型中,美國國防部NCSC國家計算機安全中心于1985年推出的TCSEC模型是靜態計算機安全模型的代表,也是目前被普遍采用的安全模型。如圖2所示。
PPDR模型包含四個主要部分:Policy(安全策略)、Protection(防護)、Detection(檢測)和Response (響應)。防護、檢測和響應組成了一個所謂的“完整的、動態”的安全循環,在安全策略的整體指導下保證信息系統的安全。
2.高頻詞“安全木桶”
網絡信息系統是一個復雜的計算機系統,它本身在物理上、操作上和管理上的種種漏洞構成了系統的安全脆弱性,尤其是客戶端用戶系統自身的復雜性、和隨意性較強,即使使用一些技術保護也可以說防不勝防。網絡信息安全的木桶原則是指對信息均衡、全面的進行保護。“木桶的最大容積取決于最短的一塊木板”,“安全木桶”這個詞在網絡安全領域是出現頻率非常高的用詞。
但是,依然有相當一部分人認為黑客、病毒、系統加固等就已經涵蓋了信息安全的一切威脅,似乎信息安全工作就是完全在與黑客與病毒打交道,全面系統的安全解決方案就是部署反病毒軟件、防火墻、入侵檢測系統。這種片面的看法對一個組織實施有效的信息安全保護帶來了不良影響,有許多例子都可以舉出來。
3.網絡安全是一種“補充”
多數的企業網絡建設中都會將有限資金放到網絡邊界和基礎設施上,但是對計算環境尤其是終端安全的資金投入和重視程度不高。這種資金投入的比例嚴重失調必然會造成“短板效應”。
網絡安全是一個系統,它不是防火墻,不是入侵檢測系統,也不是我們虛擬專用網,當然,也不是哪個網管員根據廠商或者網上的一些資料加固系統范例。
我們常說的訪問控制列表,它能夠基于主機防火墻、文件訪問控制為您提供網絡層面和文件層面的控制,但它不是一個系統。對于一個真正的網絡安全系統,以需要應用特定的威脅防御方法作為技術補充。例如在NTFS文件系統中,如果您針對了用戶設置“讀取訪問權限”,那么這些訪問文件的用戶真的就不能修改這些文件了嗎?答案是否定的。
我們設想一下,如果這個用戶將可讀取的文件存儲為副本,那么這個文件的從屬權是不是已經丟失了。所以,在文件訪問控制列表的基礎上增加數字證書或者水印功能,都是對訪問控制列表的補充應用。
建議
如此看來,僅有防火墻和加密顯然不夠。網絡管理員不僅要確保自己運行的軟件版本最新、最安全,還要時時關注操作系統的漏洞報告,時時密切關注網絡,尋找可疑活動的跡象。此外,他們還要對使用網絡的最終用戶給出明確的指導,勸他們不要安裝沒有經過測試的新軟件,打開電子郵件的可執行附件,訪問文件共享站點、運行對等軟件,配置自己的遠程訪問程序和不安全的無線接入點,等等。
【編輯推薦】
