你的防火墙还在运行吗?那你可得多留神……呵呵别介意,这只是个陈旧的、无伤大雅的玩笑哈。
不过说真的,你的防火墙对网络安全起到什么作用了吗?一点没有。如今有那么多的攻击通过80端口,你的防火墙提供过任何有效的防御吗?防火墙的有效性可谓大而不当,早已被新一代的复杂攻击所绕过。这就是微软安全专家Roger Grimes的观点。
今年5月,Roger在IDG集团的Infoworld网站上撰写了一篇文章,由此在安全行业引起了一场空前激烈的大讨论,当时他提出了一个非常激进的观点:防火墙已死。在安全领域,围绕这样一种所谓“异端邪说”,展开了激烈的、反反复复的论战。为此,Roger又写了第二篇文章再次阐述其观点,对他第一篇文章所引起的一些合理的反响一一作了回应。
人们当然有权认为某些安全技术在某个时刻已经死亡。我的朋友Richard Stiennon在这方面也很有名。实际上,我就问过Richard防火墙是否已经死了,他说除非由他来说死没死,否则不会有什么安全技术已经死了。
然而,问题依然存在。防火墙是不是已经无法跟得上最新型攻击的变化速度?你说有下一代防火墙(NGFW)据Roger说,虽然安全厂商已经卖出了大量的下一代防火墙,但他从未见过有谁真正用过这些防火墙。我对入侵防御系统(IPS)也有过类似的体验,那时正是从IDS向IPS转型的时期。
所以我想在此多少深究一下。我邀请了Roger和一些朋友共同来讨论防火墙到底还有没有用。参与讨论的除了Roger、我,还有Firemon公司的总裁Jody Brazil和长期跟踪安全行业的分析师Andrew Braunberg。我还邀请了Richard Stiennon,但是Richasrd正忙于推销他的新书《向上并向右》,没有前来参与。
Jody在Firemon的博客上针对Roger的第一篇文章写了一篇理由充分的回应文章。说他虽然可以理解Roger的观点,但是并不同意他的说法。Firemon一直在与Palo Alto以及其他NGFW厂商合作,他的看法是,已经有大量的NGFW已经就位而且在发挥着作用。Andrew作为分析师,说Roger虽然可能有一些关于防火墙的内幕证据,然而整体的市场数据并不支持他的观点。1996年,Andrew针对防火墙做过的第一批研究报告应该说已经过时了,但是Andrew认为这些报告肯定没有过时,即便是现在也没有过时。
我的观点是,防火墙成了它自身成功的牺牲品。是的,我们已经看不到有人再使用那些老式的缓冲区溢出的攻击方法了,但或许正是防火墙让此类方法难以得逞吧。当然,如今的软件也编写得更安全,也有助于防范此类威胁。但是无论怎么说防火墙整体上还是发挥了极大的作用,阻碍了这些传统攻击类型发动的攻击。可以说正是进化论在起作用,防火墙的成功逼迫恶意软件的作者们不得不采取更有创意的方法去设计恶意软件以便绕过防火墙。但是我们现在又有了具备应用感知功能的下一代防火墙,可以承诺抵御这些新类型的威胁。我认为,如果去掉防火墙,那我们很快就会看到那些传统的威胁模式再次出现。
Jody Brazil持另一种观点。他认为防火墙的作用是巨大的。在很多方面其作用就在于访问控制。即便你没有用它来禁止恶意软件,你也仍然在用它来控制进出网络的数据。而云则代表着一类完全不同的攻击类型。至于防火墙在云时代如何发挥作用那是另一回事了。