没有防火墙的安全 是明智还是愚蠢

没有防火墙的安全 是明智还是愚蠢

    多年以来，信息安全专家一直把防火墙称作安全的重要组成部分，无论是在大型企业还是在一台家用电脑上都是如此。但是，位于圣地亚哥的超级计算机中心(SDSC)以出人意料的成功的方法向这个逻辑提出了挑战。

    SDSC安全技术部门的计算机安全经理Abe Singer在6月1日举行的2006年USENIX年度技术会议上介绍了该公司如何不使用防火墙保证牢固的安全的做法。他还制作了一个关于这个主题的演示文件。

    Singer说，防火墙有一个“可怕的真相”:防火墙有性能问题、容易因为一连串的故障而受到攻击、修改网络一个地方的规则能够在网络的另一个地方造成安全漏洞。他说，IT专业人员做过一个例行性的防火墙试验，发现有若干窗口是敞开的。但是，所有问题中最大的问题就是防火墙内部的人是不能信赖的。

    Singer说，防火墙不能保护你防止你的公司内部的人做什么。如果我要偷窃一个银行，我不会设法穿过它们的防火墙。我将在银行的邮件中心找一个工作。

    有些人会问，SDSC为什么不使用防火墙再增加一层安全防御。原因之一就是现有的安全基础设施没有防火墙已经工作得足够好了。防火墙在一个需要开放的环境中引起的麻烦超过了它存在的价值。超级计算机资源是用来进行科学研究的，通常需要使用没有封闭的端口。

    允许通信从每一个端口通过的防火墙不能提供任何保护作用，而不允许通信经过某些端口的防火墙只能起到防御外部攻击的作用，仅此而已。防火墙必须要允许一些通信经过，如果接收防火墙后面的通信的机器存在安全漏洞，这个机器也会被黑客攻破。

    六年仅发生一次攻击

    SDSC在将近六年的时间里仅发生了一次安全事件。这对于一个拥有数千台计算机和在全球范围内有6000多用户的一个机构来说是一个很好的记录。在这6000多用户中，只有大约300个用户是在公司所在地办公的，其余用户都在全球各地的研究机构。

    该公司最近发生的一次安全突破事件是在两年前。当时，一位16岁的黑客使用一台劫持的计算机中的软件嗅探出口令和其它登录数据。后来，这台被劫持的计算机发现有人登录SDSC网络，这个黑客就可以跟着登录了。

    在记录检查中，他被发现了，这个黑客在网络中到处寻找可以利用的计算机。他找到了几台要攻破的计算机。这些计算机使用了安全补丁，但是没有重新启动。这个事件是攻击许多研究机构的一次大型攻击活动的一部分。

    Singer说，在这种攻击中，有没有防火墙是一样的。入侵者是通过一个可信赖的用户间来的，系统可以识别他们的身份。防火墙也不能阻止他们。他们一旦登录之后，他们的入侵者的行为使我们发现了他们。

    Singer介绍说，SDSC的安全方法减少了网络被攻破之后的影响范围，并且帮助该公司迅速恢复，比其它受到影响的机构恢复得快。

    不用防火墙防御的关键

    Singer认为缩小攻击影响范围的安全措施是基于主机的并且包括下列标准:

    ·知晓计算环境;

    ·有一个集中的设置管理环境;

    ·实施定期的或者经常的打补丁措施;

    ·保持严格的身份识别，包括严格禁止明文的口令。

    大多数公开的攻击活动，特别是蠕虫，都是利用已经有了补丁的安全漏洞，有些补丁甚至已经发布好几个月或者几年了。积极地使用补丁可能解决大多数公司的90%的安全问题。

    Singer说，在SDSC环境中禁止使用明文的口令是非常重要的。这个政策规定，禁止使用明文口令的身份识别协议，否则，被拦截和重复使用其它秘密的信息就会在SDSC的可信赖的网络和其它网络之间传递。

    对于有权限的访问，用户必须解释他们为什么需要访问和签署一个可接受的使用协议，他们的管理者也要签署这个协议。根口令仅提供给绝对需要的地方，例如在安装过程中需要登录到系统控制台的人。

    使用明文口令的账户很容易被嗅探到口令的黑客攻破，例如两年前攻破SDSC网络的16岁少年。这个规定实际上可以减少坏蛋成功的机会。

    不要上观念的当

    Singer知道，有很多安全专业人员认为他的没有防火墙的方法是个难题。但是，他争辩说，企业太依赖防火墙了，常常到了荒谬的程度了。“防火墙对于有效的网络安全是必要的”这个观点太流行了，以至于人们认为你没有防火墙就是错误的。他补充说，问题是防火墙提供了一种错误的安全感。

    Singer说，我帮助一个私营研究所制定了一个全面的安全计划。这个安全计划以基础设施保护为重点。他们雇用了一个新的首席技术官。这位首席技术官通知我们说，他要一个防火墙，因为每当他与其它公司的对手讨论安全问题时，他们都对他不使用防火墙的做法表示怀疑。他感到他的名誉因此受到了伤害。

    在后来召开的员工会议上，Singer说，那位首席技术官宣布那个机构现在安全了，因为他们有了一个防火墙。但是，他们并没有安全。一些工作人员就因为安全问题找过他。

    防火墙什么时候是有用的

    Singer表示，虽然SDSC没有防火墙也过得很好，但是，他认为有些地方防火墙还是有用的。虽然大多数机构把90%的时间和金钱都用在了防火墙上面，但是，防火墙的作用可能还不到5%。

    他说，假如你知道你要防御什么的话，防火墙能够提供额外一层保护。有些人说，防火墙是为没有自我保护能力的机器使用的，如打印机和Windows计算机。

    Singer承认，SDSC在某些情况下也尝试使用了防火墙，主要是用于允许出网通信，而不是入网通信的防火墙。他说，防火墙能够减少某些暴露。它提供了一个扼制点以便监视和封锁行为不轨的机器攻击我们网络中的其它机器。

    但是，Singer最后认为，他并不认为用于基于主机安全的防火墙在过去的几年里为SDSC提供了很好的服务。