舍棄防火墻更安全?并非危言聳聽!

責(zé)任編輯:王文龍

2013-07-16 17:36:11

摘自:安庫網(wǎng)

時代在發(fā)展,一切都不同了,對于面向互聯(lián)網(wǎng)的大型服務(wù)器集群來說,防火墻的加入不過是陡增多余的故障點(diǎn)。

如果我說:防火墻將退出IT舞臺。你會不會覺得有點(diǎn)信口開河?多年來,依靠SPI(全狀態(tài)數(shù)據(jù)包檢測型防火墻)與代理防火墻機(jī)制保障安全幾乎成了IT工作者們的金科玉律,脫離防火墻簡直是無稽之談。但是時代在發(fā)展,一切都不同了,對于面向互聯(lián)網(wǎng)的大型服務(wù)器集群來說,防火墻的加入不過是陡增多余的故障點(diǎn)。

服務(wù)器前端不設(shè)置防火墻并不意味著我們無法對系統(tǒng)接入加以控制。或許你并不相信,關(guān)閉防火墻反而能在一定程度上提高網(wǎng)絡(luò)及主機(jī)安全的可靠性與堅(jiān)實(shí)性。下面,我們將從三個角度出發(fā),論證為什么防火墻的退出能改善日常工作、幫助企業(yè)簡化轉(zhuǎn)型難題。

“不要防火墻”并不意味著“不要控制”

服務(wù)器前端不設(shè)置防火墻并不意味著我們無法對系統(tǒng)接入加以控制。事實(shí)上,現(xiàn)代操作系統(tǒng)中早已普及了路由器訪問列表、基于主機(jī)的內(nèi)置數(shù)據(jù)包過濾器等簡單但可靠的技術(shù),而這些機(jī)制完全能夠提供足夠的控制功能。邊緣路由器能夠很好地剔除異常數(shù)據(jù)包,同時幫助企業(yè)節(jié)約防火墻產(chǎn)品的開銷。如果一臺服務(wù)器僅監(jiān)聽443端口,那么它就應(yīng)該成為邊緣路由器的惟一開放端口并接收能通過服務(wù)器自身防火墻的訪問請求。

另一種非常重要且有效的解決方案在于利用邊緣路由器控制出站連接。攻擊者必須與被攻破的主機(jī)進(jìn)行通信才能實(shí)施進(jìn)一步惡意活動,如果主機(jī)無法建立出站連接,那么攻擊者也將無從下手。與互聯(lián)網(wǎng)對接的服務(wù)器應(yīng)該能與內(nèi)部服務(wù)器溝通DNS及NTP協(xié)議、從內(nèi)部補(bǔ)丁庫中下載補(bǔ)丁并向內(nèi)部日志服務(wù)器發(fā)送日志文件。然而一旦涉及對外服務(wù),嚴(yán)密控制將使攻擊者無機(jī)可乘。即使大家的企業(yè)無法接受徹底脫離標(biāo)準(zhǔn)網(wǎng)絡(luò)防火墻的觀念,也應(yīng)將嚴(yán)格把控出站連接當(dāng)作防火墻設(shè)置工作的重點(diǎn)。

主機(jī)擁有充足的自保能力

防火墻可用于多種用途,而目前其最主要的預(yù)定目標(biāo)就是對孱弱或者糟糕的主機(jī)安全性提供支持。相比保護(hù)主機(jī)本身,很多系統(tǒng)管理者更樂于將系統(tǒng)隱藏在互聯(lián)網(wǎng)防火墻之下,并認(rèn)為一套狀態(tài)化防火墻能夠保護(hù)系統(tǒng)免受嚴(yán)重威脅。但我要遺憾地提醒大家,這種思路完全行不通。這種方案好比“掩耳盜鈴”。

系統(tǒng)管理者們是時候認(rèn)真了解自己的主機(jī)安全機(jī)制并啟用內(nèi)置隔離功能了,這樣服務(wù)器才能從坐以待斃的窘境中擺脫出來,以積極姿態(tài)應(yīng)對來自企業(yè)局域網(wǎng)或者外部互聯(lián)網(wǎng)的猛烈攻勢。每一種現(xiàn)代操作系統(tǒng)都提供多種訪問控制方式,我們只要稍加配置就能使其生效。請記住,我們越是接近想要保護(hù)的信息、安全工作就越容易開展。

應(yīng)對攻擊數(shù)據(jù)保護(hù)是根本

對主機(jī)失去控制令人頭痛,正如我們對正門上的涂鴉無可奈何一樣。無論惡意人士是從正門闖入還是網(wǎng)絡(luò)潛入,由此造成的數(shù)據(jù)丟失都屬于很嚴(yán)重的后果。事實(shí)上,無論防火墻是否存在,主機(jī)都有可能被攻破。因此保護(hù)重要信息的工作應(yīng)該從信息本身著手,而不能僅在周圍部署一些防御機(jī)制、然后坐等攻擊活動發(fā)生。

為了實(shí)現(xiàn)這一目標(biāo),我們需要采用合適的數(shù)據(jù)保護(hù)控制方案:加密、數(shù)據(jù)隱藏、歸檔甚至清除計劃任務(wù)中的臨時文件等。這一切都能降低主機(jī)被攻破后所引發(fā)的后續(xù)風(fēng)險。如果被竊取的內(nèi)容并不重要或者攻擊者無法使用取得的信息,我們的企業(yè)也就不至于因?yàn)榘踩录巧闲侣勵^條、更不可能違規(guī)事故的責(zé)任承擔(dān)者。

除此之外,我們還應(yīng)妥善分隔系統(tǒng)與應(yīng)用程序管理流程中的職責(zé)與權(quán)限,盡量降低來自內(nèi)部人員的潛在風(fēng)險。系統(tǒng)管理員與網(wǎng)絡(luò)管理員并不需要訪問關(guān)鍵性業(yè)務(wù)數(shù)據(jù)的權(quán)限,應(yīng)用程序擁有者也不需要擁有與操作系統(tǒng)管理員等同的權(quán)限。大家一定還記得將美國國家安全局拉入泥潭的斯諾登——他的作為是否正確姑且不論,但如果安全局方面能明確劃分各崗位的具體權(quán)限,如今的麻煩也將不復(fù)存在。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號