近來，各大廠商的網(wǎng)站競相出現(xiàn)安全問題。比如WordPress.com遭遇大規(guī)模DDoS攻擊，MySQL.com和Sun.com遭到攻擊等等。前兩日更爆出7天酒店數(shù)據(jù)庫被盜，黑客網(wǎng)上叫賣會(huì)員信息的新聞，看來企業(yè)的安全問題真的是不容小覷……

不過話說回來，相信有一定規(guī)模的企業(yè)，都會(huì)進(jìn)行安全部署，在安全產(chǎn)品方面的投資肯定也不會(huì)少，但是，用上了安全產(chǎn)品就真的安全了么？這個(gè)問題的答案也只能用maybe來回答。

近日國外媒體報(bào)道，來自獨(dú)立測試機(jī)構(gòu)NSS Labs的最新研究表明，六分之五的常用防火墻無法阻止企業(yè)遭受常見的攻擊，例如TCP/IP協(xié)議入侵。

NSS Labs在今年初承擔(dān)了一項(xiàng)針對(duì)主要防火墻的研究，發(fā)現(xiàn)除了Check Point的產(chǎn)品之外，所有的被測系統(tǒng)都無法保持其穩(wěn)定性，也不能對(duì)TCP握手泛洪攻擊進(jìn)行處理。TCP/IP攻擊等同于IP泛洪。

未通過測試的防火墻產(chǎn)品包括思科的ASA5585，F(xiàn)ortinet公司的Fortigate 3950B，Juniper的SRX 5800，Palo Alto的PA-4020和Sonicwall的E8500。其中一半產(chǎn)品的系統(tǒng)容易崩潰，六分之五的產(chǎn)品無法檢測TCP握手攻擊。

此次測試中的發(fā)現(xiàn)非常重要，因?yàn)榉阑饓κ瞧髽I(yè)網(wǎng)絡(luò)安全的第一道防線。NSS在首次發(fā)現(xiàn)漏洞時(shí)曾經(jīng)聯(lián)系廠商進(jìn)行修復(fù)，但沒有響應(yīng)。因此，NSS決定公布測試結(jié)果。

51CTO編者按：參加本次NSS Labs防火墻測試的廠家有六個(gè)：Check Point、思科、Fortinet、Juniper、Palo Alto和Sonicwall，其中分別對(duì)上述6個(gè)公司的某單一產(chǎn)品進(jìn)行了測試，其中5家產(chǎn)品都出現(xiàn)了安全漏洞，可見安全產(chǎn)品并非覺絕對(duì)安全……

雖然其中5家的產(chǎn)品出現(xiàn)了問題，但是并不能說明剩下的1家產(chǎn)品是絕對(duì)安全的，也不能說另外5家其他產(chǎn)品是有問題。安全總是相對(duì)來看的，在平時(shí)沒有出現(xiàn)問題的時(shí)候，我們很難評(píng)估這些安全效果，只有在出現(xiàn)某些安全事件的時(shí)候，才能看出這些產(chǎn)品是否有效果。所以，我們要客觀的來看待安全問題。

其實(shí)，在企業(yè)部署安全策略的時(shí)候，不能光依賴于產(chǎn)品的使用，企業(yè)安全更是包含了多種多樣的問題，不單是安全產(chǎn)品的使用，也要有一個(gè)整體的安全規(guī)劃，一個(gè)嚴(yán)格的安全制度以及一個(gè)完善的人員管理規(guī)范。這樣才能建立一個(gè)立體的安全系統(tǒng)，即便其中單一環(huán)節(jié)出現(xiàn)問題，也能從其他環(huán)節(jié)上進(jìn)行一個(gè)應(yīng)急的措施，將損失降到最低。在上期企業(yè)安全運(yùn)維的技術(shù)沙龍中，我們也討論了不少這方面的問題，感興趣的朋友不妨去看看相關(guān)視頻。

NSS Labs報(bào)告原文鏈接：http://www.nsslabs.com/company/news/press-releases/nss-labs-finds-holes-in-majority-of-leading-network-firewalls.html