[软件安全] 没有防火墙安全明智还是愚蠢--3C在线[www.3Conline.net]

　　您现在的位置： 3C在线 >> 商用频道 >> 软件 >> 资讯 >> 正文

★★★

[软件安全] 没有防火墙安全明智还是愚蠢

作者：未知文章来源:天极yesky 更新时间:2006-6-13

多年以来，信息安全专家一直把防火墙称作安全的重要组成部分，无论是在大型企业还是在一台家用电脑上都是如此。但是，位于圣地亚哥的超级计算机中心(SDSC)以出人意料的成功的方法向这个逻辑提出了挑战。

　　 SDSC安全技术部门的计算机安全经理Abe Singer在6月1日举行的2006年USENIX年度技术会议上介绍了该公司如何不使用防火墙保证牢固的安全的做法。他还制作了一个关于这个主题的演示文件。

　　Singer说，防火墙有一个“可怕的真相”:防火墙有性能问题、容易因为一连串的故障而受到攻击、修改网络一个地方的规则能够在网络的另一个地方造成安全漏洞。他说，IT专业人员做过一个例行性的防火墙试验，发现有若干窗口是敞开的。但是，所有问题中最大的问题就是防火墙内部的人是不能信赖的。

　　Singer说，防火墙不能保护你防止你的公司内部的人做什么。如果我要偷窃一个银行，我不会设法穿过它们的防火墙。我将在银行的邮件中心找一个工作。

　　有些人会问，SDSC为什么不使用防火墙再增加一层安全防御。原因之一就是现有的安全基础设施没有防火墙已经工作得足够好了。防火墙在一个需要开放的环境中引起的麻烦超过了它存在的价值。超级计算机资源是用来进行科学研究的，通常需要使用没有封闭的端口。

　　允许通信从每一个端口通过的防火墙不能提供任何保护作用，而不允许通信经过某些端口的防火墙只能起到防御外部攻击的作用，仅此而已。防火墙必须要允许一些通信经过，如果接收防火墙后面的通信的机器存在安全漏洞，这个机器也会被黑客攻破。

　　六年仅发生一次攻击

　　SDSC在将近六年的时间里仅发生了一次安全事件。这对于一个拥有数千台计算机和在全球范围内有6000多用户的一个机构来说是一个很好的记录。在这6000多用户中，只有大约300个用户是在公司所在地办公的，其余用户都在全球各地的研究机构。

　　该公司最近发生的一次安全突破事件是在两年前。当时，一位16岁的黑客使用一台劫持的计算机中的软件嗅探出口令和其它登录数据。后来，这台被劫持的计算机发现有人登录SDSC网络，这个黑客就可以跟着登录了。

　　在记录检查中，他被发现了，这个黑客在网络中到处寻找可以利用的计算机。他找到了几台要攻破的计算机。这些计算机使用了安全补丁，但是没有重新启动。这个事件是攻击许多研究机构的一次大型攻击活动的一部分。

　　Singer说，在这种攻击中，有没有防火墙是一样的。入侵者是通过一个可信赖的用户间来的，系统可以识别他们的身份。防火墙也不能阻止他们。他们一旦登录之后，他们的入侵者的行为使我们发现了他们。

　　Singer介绍说，SDSC的安全方法减少了网络被攻破之后的影响范围，并且帮助该公司迅速恢复，比其它受到影响的机构恢复得快。

　　不用防火墙防御的关键

　　Singer认为缩小攻击影响范围的安全措施是基于主机的并且包括下列标准:

　　·知晓计算环境;

　　·有一个集中的设置管理环境;

　　·实施定期的或者经常的打补丁措施;

　　·保持严格的身份识别，包括严格禁止明文的口令。

　　大多数公开的攻击活动，特别是蠕虫，都是利用已经有了补丁的安全漏洞，有些补丁甚至已经发布好几个月或者几年了。积极地使用补丁可能解决大多数公司的90%的安全问题。

　　Singer说，在SDSC环境中禁止使用明文的口令是非常重要的。这个政策规定，禁止使用明文口令的身份识别协议，否则，被拦截和重复使用其它秘密的信息就会在SDSC的可信赖的网络和其它网络之间传递。

　　对于有权限的访问，用户必须解释他们为什么需要访问和签署一个可接受的使用协议，他们的管理者也要签署这个协议。根口令仅提供给绝对需要的地方，例如在安装过程中需要登录到系统控制台的人。

　　使用明文口令的账户很容易被嗅探到口令的黑客攻破，例如两年前攻破SDSC网络的16岁少年。这个规定实际上可以减少坏蛋成功的机会。

　　不要上观念的当

　　Singer知道，有很多安全专业人员认为他的没有防火墙的方法是个难题。但是，他争辩说，企业太依赖防火墙了，常常到了荒谬的程度了。“防火墙对于有效的网络安全是必要的”这个观点太流行了，以至于人们认为你没有防火墙就是错误的。他补充说，问题是防火墙提供了一种错误的安全感。

　　Singer说，我帮助一个私营研究所制定了一个全面的安全计划。这个安全计划以基础设施保护为重点。他们雇用了一个新的首席技术官。这位首席技术官通知我们说，他要一个防火墙，因为每当他与其它公司的对手讨论安全问题时，他们都对他不使用防火墙的做法表示怀疑。他感到他的名誉因此受到了伤害。

　　在后来召开的员工会议上，Singer说，那位首席技术官宣布那个机构现在安全了，因为他们有了一个防火墙。但是，他们并没有安全。一些工作人员就因为安全问题找过他。

　　防火墙什么时候是有用的

　　Singer表示，虽然SDSC没有防火墙也过得很好，但是，他认为有些地方防火墙还是有用的。虽然大多数机构把90%的时间和金钱都用在了防火墙上面，但是，防火墙的作用可能还不到5%。

　　他说，假如你知道你要防御什么的话，防火墙能够提供额外一层保护。有些人说，防火墙是为没有自我保护能力的机器使用的，如打印机和Windows计算机。

　　Singer承认，SDSC在某些情况下也尝试使用了防火墙，主要是用于允许出网通信，而不是入网通信的防火墙。他说，防火墙能够减少某些暴露。它提供了一个扼制点以便监视和封锁行为不轨的机器攻击我们网络中的其它机器。

　　但是，Singer最后认为，他并不认为用于基于主机安全的防火墙在过去的几年里为SDSC提供了很好的服务。

在购买产品时向经销商提及“是3C在线网站的网友”将会享受到更具诱惑力的超值价格，同时3C在线也将作为媒体公正方，全面监督该产品的售后服务质量!

编辑提示：
　　想了解更多IT产品最精确报价，请点击进入：报价中心；
　　想了解更多IT产品、市场资讯，请点击进入：3C资讯；
　　想了解更多的卖场商家信息，寻找钟意的IT产品，请进入：卖场导购；
　　想了解更多、更全的IT产品代理商信息，请进入：诚信商盟；
　　想了解更多的星座趣事、爆笑网文，请进入：3C-E乐；
　　想了解更多的三好趣闻、结交更多的朋友，请进入：3C社区；
　　想了解更多的渠道信息，拓展渠道市场，尽在东北IT黄页；
　　想了解时下最经典的DIY装机配置、最超值的硬件产品，请点击：在线装机频道
　　如果你有信息想要发布或想与网站合作，请拨打：024-62112212-229；如果您有新闻事件或产品信息的线索，请EMAIL：3Conline.lx@163.com或拨打3C在线资讯热线：024－23913733转247；如果您对3C在线及相应的内容有什么意见、建议，请EMAIL: 3Conline.lx@163.com；

　　免责声明：如对3C在线所转载文章有任何异议，请与文章出处媒体联系，谢谢合作！
　　

欢迎加入3C在线QQ群：
DIY配件群-13292826	数码产品群-52560776	内存之家-62831611	手机家电-32423524
本本一族-65179677	游戏及周边群-26613906	IT碰碰吧-7692041	吃喝玩乐群-33938656
东北经销商群-65179410	二手论坛-14127773	打印、耗材群-26532098	产品报价更新-35642202
周边城市会员-56867232	网友俱乐部-33627059	IT型男索女秀-31092009

文章录入：fengguohua 责任编辑：fengguohua

上一篇文章： [软件应用] 王者间PK：拼音加加VS紫光输入法

下一篇文章： [软件教程] 随时创建随身携带的聊天室

【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

	最新推荐
	· [外设耗材] 准星TX-190B支票打印机现售320元 · [外设耗材] 准星TX-290B支票打印机沈阳2300 · [ 投影机 ] 增加商务产品线东芝发布3款投影 · [ 投影机 ] 技术升级 Acer推出商务新品P127 · [外设耗材] 坚固耐摔百杨小蜜蜂LASER ST-1 · [办公用品] 中控iClock100彩屏指纹考勤机 · [办公用品] U160专业指纹考勤机沈阳索科热销 · [存储安全] 稳定高效鸿宝SVC-0.5K稳压器 · [网络产品] HH-V01系列数字视频光端机热销 · [解决方案] 贺浦华东北办事处成立送大礼！

	相关文章
	[网络产品] 华为Eudemon 1000防火墙10500元 [存储] 中华卫士DNA：构筑中小企业安全链 [办公设备] 只有U盘大小的Linux防火墙新问世 [网络安全] 高强品质思科PIX 535防火墙促销 [无线网络] 保障网络安全SONICWALL防火墙55 [网络产品] NETGEAR网件防火墙不到700 [网络安全] 网络防火墙使用中常遇问题解答 [网络安全] 网络防火墙和病毒防火墙的差别 [ 防火墙 ] 带打印机接口网件商用防火墙 [ 服务器 ] 英特尔发布至强5100 众厂商响应

　网友评论：（只显示最新10条。评论内容只代表网友观点，与本站立场无关！）

宏正ATEN切换器沈阳热售
3C在线VS蜀山送好礼物
3C在线IT团购八月启动
WCG2008 CF沈阳总决赛

热门图文

[办公设备] 二手柯美DI650复印机现售75

[办公设备] 紫光FM3000扫描仪沈阳售168

[软件产品] 性能卓越驱逐舰杀毒软件沈

[网络产品] 钢琴烤漆外观 802.11N路由器

友情推荐

·asus路由器
·金浪路由器
·联想路由器
·实达路由器
·迈普路由器

·网达路由器
·万林克路由器
·华硕路由器108
·vanlink路由器
·联想天工路由器