防火墻作為網(wǎng)絡(luò)安全體系的基礎(chǔ)和核心控制設(shè)備，貫穿于受控網(wǎng)絡(luò)通信主干線，它對通過受控干線的任何通信行為進(jìn)行安全處理，同時(shí)也承擔(dān)著繁重的通信任務(wù)?？墒莻鹘y(tǒng)意義上的包過濾防火墻有很多弊病：在通信方面，包過濾防火墻只能訪問部分?jǐn)?shù)據(jù)包的頭信息;在狀態(tài)監(jiān)管方面，包過濾防火墻是無狀態(tài)的，所以它不可能保存來自于通信和應(yīng)用的狀態(tài)信息;在信息處理方面的能力也是有限的。

比如Unicode攻擊，以及“代碼注入技術(shù)”，因?yàn)檫@種攻擊是選擇了防火墻所允許的80端口，而包過濾的防火墻無法對數(shù)據(jù)包內(nèi)容進(jìn)行核查，因此此時(shí)防火墻等同于虛設(shè)，即使在防火墻的屏障之后，也會(huì)被攻擊者輕松拿下超級用戶的權(quán)限。

1.防火墻是一個(gè)靜態(tài)的設(shè)備

隨著信息技術(shù)的發(fā)展與應(yīng)用，信息安全的內(nèi)涵在不斷的延伸，從最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認(rèn)性，進(jìn)而又發(fā)展為“攻(攻擊)、防(防范)、測(檢測)、控(控制)、管(管理)、評(評估)”等多方面的基礎(chǔ)理論和實(shí)施技術(shù)。傳統(tǒng)的信息安全技術(shù)都集中在系統(tǒng)本身的加固和防護(hù)上，如采用安全級別高的操作系統(tǒng)與數(shù)據(jù)庫，在網(wǎng)絡(luò)的出口處配置防火墻，在信息傳輸和存儲(chǔ)方面采用加密技術(shù)，使用集中的身份認(rèn)證產(chǎn)品等。傳統(tǒng)的信息系統(tǒng)安全模型是針對單機(jī)系統(tǒng)環(huán)境而制定的，對網(wǎng)絡(luò)環(huán)境安全并不能很好描述，并且對動(dòng)態(tài)的安全威脅、系統(tǒng)的脆弱性沒有應(yīng)對措施，傳統(tǒng)的安全模型是靜態(tài)安全模型。但隨著網(wǎng)絡(luò)的深入發(fā)展，它已無法完全反應(yīng)動(dòng)態(tài)變化的互聯(lián)網(wǎng)安全問題。

傳統(tǒng)的計(jì)算機(jī)安全模型中，美國國防部NCSC國家計(jì)算機(jī)安全中心于1985年推出的TCSEC模型是靜態(tài)計(jì)算機(jī)安全模型的代表，也是目前被普遍采用的安全模型。如圖2所示。

PPDR模型包含四個(gè)主要部分：Policy(安全策略)、Protection(防護(hù))、Detection(檢測)和Response (響應(yīng))。防護(hù)、檢測和響應(yīng)組成了一個(gè)所謂的“完整的、動(dòng)態(tài)”的安全循環(huán)，在安全策略的整體指導(dǎo)下保證信息系統(tǒng)的安全。

2.高頻詞“安全木桶”

網(wǎng)絡(luò)信息系統(tǒng)是一個(gè)復(fù)雜的計(jì)算機(jī)系統(tǒng)，它本身在物理上、操作上和管理上的種種漏洞構(gòu)成了系統(tǒng)的安全脆弱性，尤其是客戶端用戶系統(tǒng)自身的復(fù)雜性、和隨意性較強(qiáng)，即使使用一些技術(shù)保護(hù)也可以說防不勝防。網(wǎng)絡(luò)信息安全的木桶原則是指對信息均衡、全面的進(jìn)行保護(hù)。“木桶的最大容積取決于最短的一塊木板”，“安全木桶”這個(gè)詞在網(wǎng)絡(luò)安全領(lǐng)域是出現(xiàn)頻率非常高的用詞。

但是，依然有相當(dāng)一部分人認(rèn)為黑客、病毒、系統(tǒng)加固等就已經(jīng)涵蓋了信息安全的一切威脅，似乎信息安全工作就是完全在與黑客與病毒打交道，全面系統(tǒng)的安全解決方案就是部署反病毒軟件、防火墻、入侵檢測系統(tǒng)。這種片面的看法對一個(gè)組織實(shí)施有效的信息安全保護(hù)帶來了不良影響，有許多例子都可以舉出來。

3.網(wǎng)絡(luò)安全是一種“補(bǔ)充”

多數(shù)的企業(yè)網(wǎng)絡(luò)建設(shè)中都會(huì)將有限資金放到網(wǎng)絡(luò)邊界和基礎(chǔ)設(shè)施上，但是對計(jì)算環(huán)境尤其是終端安全的資金投入和重視程度不高。這種資金投入的比例嚴(yán)重失調(diào)必然會(huì)造成“短板效應(yīng)”。

網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)，它不是防火墻，不是入侵檢測系統(tǒng)，也不是我們虛擬專用網(wǎng)，當(dāng)然，也不是哪個(gè)網(wǎng)管員根據(jù)廠商或者網(wǎng)上的一些資料加固系統(tǒng)范例。

我們常說的訪問控制列表，它能夠基于主機(jī)防火墻、文件訪問控制為您提供網(wǎng)絡(luò)層面和文件層面的控制，但它不是一個(gè)系統(tǒng)。對于一個(gè)真正的網(wǎng)絡(luò)安全系統(tǒng)，以需要應(yīng)用特定的威脅防御方法作為技術(shù)補(bǔ)充。例如在NTFS文件系統(tǒng)中，如果您針對了用戶設(shè)置“讀取訪問權(quán)限”，那么這些訪問文件的用戶真的就不能修改這些文件了嗎?答案是否定的。

我們設(shè)想一下，如果這個(gè)用戶將可讀取的文件存儲(chǔ)為副本，那么這個(gè)文件的從屬權(quán)是不是已經(jīng)丟失了。所以，在文件訪問控制列表的基礎(chǔ)上增加數(shù)字證書或者水印功能，都是對訪問控制列表的補(bǔ)充應(yīng)用。

建議

如此看來，僅有防火墻和加密顯然不夠。網(wǎng)絡(luò)管理員不僅要確保自己運(yùn)行的軟件版本最新、最安全，還要時(shí)時(shí)關(guān)注操作系統(tǒng)的漏洞報(bào)告，時(shí)時(shí)密切關(guān)注網(wǎng)絡(luò)，尋找可疑活動(dòng)的跡象。此外，他們還要對使用網(wǎng)絡(luò)的最終用戶給出明確的指導(dǎo)，勸他們不要安裝沒有經(jīng)過測試的新軟件，打開電子郵件的可執(zhí)行附件，訪問文件共享站點(diǎn)、運(yùn)行對等軟件，配置自己的遠(yuǎn)程訪問程序和不安全的無線接入點(diǎn)，等等。

【編輯推薦】

1. 詳述防火墻維護(hù)與管理以及技術(shù)發(fā)展趨勢
2. 訪問控制列表構(gòu)建網(wǎng)絡(luò)防火墻體系