近来,各大厂商的网站竞相出现安全问题。比如WordPress.com遭遇大规模DDoS攻击,MySQL.com和Sun.com遭到攻击等等。前两日更爆出7天酒店数据库被盗,黑客网上叫卖会员信息的新闻,看来企业的安全问题真的是不容小觑……
不过话说回来,相信有一定规模的企业,都会进行安全部署,在安全产品方面的投资肯定也不会少,但是,用上了安全产品就真的安全了么?这个问题的答案也只能用maybe来回答。
近日国外媒体报道,来自独立测试机构NSS Labs的最新研究表明,六分之五的常用防火墙无法阻止企业遭受常见的攻击,例如TCP/IP协议入侵。
NSS Labs在今年初承担了一项针对主要防火墙的研究,发现除了Check Point的产品之外,所有的被测系统都无法保持其稳定性,也不能对TCP握手泛洪攻击进行处理。TCP/IP攻击等同于IP泛洪。
未通过测试的防火墙产品包括思科的ASA5585,Fortinet公司的Fortigate 3950B,Juniper的SRX 5800,Palo Alto的PA-4020和Sonicwall的E8500。其中一半产品的系统容易崩溃,六分之五的产品无法检测TCP握手攻击。
此次测试中的发现非常重要,因为防火墙是企业网络安全的第一道防线。NSS在首次发现漏洞时曾经联系厂商进行修复,但没有响应。因此,NSS决定公布测试结果。
51CTO编者按:参加本次NSS Labs防火墙测试的厂家有六个:Check Point、思科、Fortinet、Juniper、Palo Alto和Sonicwall,其中分别对上述6个公司的某单一产品进行了测试,其中5家产品都出现了安全漏洞,可见安全产品并非觉绝对安全……
虽然其中5家的产品出现了问题,但是并不能说明剩下的1家产品是绝对安全的,也不能说另外5家其他产品是有问题。安全总是相对来看的,在平时没有出现问题的时候,我们很难评估这些安全效果,只有在出现某些安全事件的时候,才能看出这些产品是否有效果。所以,我们要客观的来看待安全问题。
其实,在企业部署安全策略的时候,不能光依赖于产品的使用,企业安全更是包含了多种多样的问题,不单是安全产品的使用,也要有一个整体的安全规划,一个严格的安全制度以及一个完善的人员管理规范。这样才能建立一个立体的安全系统,即便其中单一环节出现问题,也能从其他环节上进行一个应急的措施,将损失降到最低。在上期企业安全运维的技术沙龙中,我们也讨论了不少这方面的问题,感兴趣的朋友不妨去看看相关视频。
NSS Labs报告原文链接:http://www.nsslabs.com/company/news/press-releases/nss-labs-finds-holes-in-majority-of-leading-network-firewalls.html
