你的防火墻還在運(yùn)行嗎?那你可得多留神……呵呵別介意，這只是個(gè)陳舊的、無傷大雅的玩笑哈。

不過說真的，你的防火墻對(duì)網(wǎng)絡(luò)安全起到什么作用了嗎?一點(diǎn)沒有。如今有那么多的攻擊通過80端口，你的防火墻提供過任何有效的防御嗎?防火墻的有效性可謂大而不當(dāng)，早已被新一代的復(fù)雜攻擊所繞過。這就是微軟安全專家Roger Grimes的觀點(diǎn)。

今年5月，Roger在IDG集團(tuán)的Infoworld網(wǎng)站上撰寫了一篇文章，由此在安全行業(yè)引起了一場(chǎng)空前激烈的大討論，當(dāng)時(shí)他提出了一個(gè)非常激進(jìn)的觀點(diǎn)：防火墻已死。在安全領(lǐng)域，圍繞這樣一種所謂“異端邪說”，展開了激烈的、反反復(fù)復(fù)的論戰(zhàn)。為此，Roger又寫了第二篇文章再次闡述其觀點(diǎn)，對(duì)他第一篇文章所引起的一些合理的反響一一作了回應(yīng)。

人們當(dāng)然有權(quán)認(rèn)為某些安全技術(shù)在某個(gè)時(shí)刻已經(jīng)死亡。我的朋友Richard Stiennon在這方面也很有名。實(shí)際上，我就問過Richard防火墻是否已經(jīng)死了，他說除非由他來說死沒死，否則不會(huì)有什么安全技術(shù)已經(jīng)死了。

然而，問題依然存在。防火墻是不是已經(jīng)無法跟得上最新型攻擊的變化速度?你說有下一代防火墻(NGFW)據(jù)Roger說，雖然安全廠商已經(jīng)賣出了大量的下一代防火墻，但他從未見過有誰真正用過這些防火墻。我對(duì)入侵防御系統(tǒng)(IPS)也有過類似的體驗(yàn)，那時(shí)正是從IDS向IPS轉(zhuǎn)型的時(shí)期。

所以我想在此多少深究一下。我邀請(qǐng)了Roger和一些朋友共同來討論防火墻到底還有沒有用。參與討論的除了Roger、我，還有Firemon公司的總裁Jody Brazil和長(zhǎng)期跟蹤安全行業(yè)的分析師Andrew Braunberg。我還邀請(qǐng)了Richard Stiennon，但是Richasrd正忙于推銷他的新書《向上并向右》，沒有前來參與。

Jody在Firemon的博客上針對(duì)Roger的第一篇文章寫了一篇理由充分的回應(yīng)文章。說他雖然可以理解Roger的觀點(diǎn)，但是并不同意他的說法。Firemon一直在與Palo Alto以及其他NGFW廠商合作，他的看法是，已經(jīng)有大量的NGFW已經(jīng)就位而且在發(fā)揮著作用。Andrew作為分析師，說Roger雖然可能有一些關(guān)于防火墻的內(nèi)幕證據(jù)，然而整體的市場(chǎng)數(shù)據(jù)并不支持他的觀點(diǎn)。1996年，Andrew針對(duì)防火墻做過的第一批研究報(bào)告應(yīng)該說已經(jīng)過時(shí)了，但是Andrew認(rèn)為這些報(bào)告肯定沒有過時(shí)，即便是現(xiàn)在也沒有過時(shí)。

我的觀點(diǎn)是，防火墻成了它自身成功的犧牲品。是的，我們已經(jīng)看不到有人再使用那些老式的緩沖區(qū)溢出的攻擊方法了，但或許正是防火墻讓此類方法難以得逞吧。當(dāng)然，如今的軟件也編寫得更安全，也有助于防范此類威脅。但是無論怎么說防火墻整體上還是發(fā)揮了極大的作用，阻礙了這些傳統(tǒng)攻擊類型發(fā)動(dòng)的攻擊?？梢哉f正是進(jìn)化論在起作用，防火墻的成功逼迫惡意軟件的作者們不得不采取更有創(chuàng)意的方法去設(shè)計(jì)惡意軟件以便繞過防火墻。但是我們現(xiàn)在又有了具備應(yīng)用感知功能的下一代防火墻，可以承諾抵御這些新類型的威脅。我認(rèn)為，如果去掉防火墻，那我們很快就會(huì)看到那些傳統(tǒng)的威脅模式再次出現(xiàn)。

Jody Brazil持另一種觀點(diǎn)。他認(rèn)為防火墻的作用是巨大的。在很多方面其作用就在于訪問控制。即便你沒有用它來禁止惡意軟件，你也仍然在用它來控制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)。而云則代表著一類完全不同的攻擊類型。至于防火墻在云時(shí)代如何發(fā)揮作用那是另一回事了。