防火墙作为网络安全体系的基础和核心控制设备,贯穿于受控网络通信主干线,它对通过受控干线的任何通信行为进行安全处理,同时也承担着繁重的通信任务。可是传统意义上的包过滤防火墙有很多弊病:在通信方面,包过滤防火墙只能访问部分数据包的头信息;在状态监管方面,包过滤防火墙是无状态的,所以它不可能保存来自于通信和应用的状态信息;在信息处理方面的能力也是有限的。
比如Unicode攻击,以及“代码注入技术”,因为这种攻击是选择了防火墙所允许的80端口,而包过滤的防火墙无法对数据包内容进行核查,因此此时防火墙等同于虚设,即使在防火墙的屏障之后,也会被攻击者轻松拿下超级用户的权限。
1.防火墙是一个静态的设备
随着信息技术的发展与应用,信息安全的内涵在不断的延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。传统的信息安全技术都集中在系统本身的加固和防护上,如采用安全级别高的操作系统与数据库,在网络的出口处配置防火墙,在信息传输和存储方面采用加密技术,使用集中的身份认证产品等。传统的信息系统安全模型是针对单机系统环境而制定的,对网络环境安全并不能很好描述,并且对动态的安全威胁、系统的脆弱性没有应对措施,传统的安全模型是静态安全模型。但随着网络的深入发展,它已无法完全反应动态变化的互联网安全问题。
传统的计算机安全模型中,美国国防部NCSC国家计算机安全中心于1985年推出的TCSEC模型是静态计算机安全模型的代表,也是目前被普遍采用的安全模型。如图2所示。
PPDR模型包含四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和Response (响应)。防护、检测和响应组成了一个所谓的“完整的、动态”的安全循环,在安全策略的整体指导下保证信息系统的安全。
2.高频词“安全木桶”
网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是客户端用户系统自身的复杂性、和随意性较强,即使使用一些技术保护也可以说防不胜防。网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”,“安全木桶”这个词在网络安全领域是出现频率非常高的用词。
但是,依然有相当一部分人认为黑客、病毒、系统加固等就已经涵盖了信息安全的一切威胁,似乎信息安全工作就是完全在与黑客与病毒打交道,全面系统的安全解决方案就是部署反病毒软件、防火墙、入侵检测系统。这种片面的看法对一个组织实施有效的信息安全保护带来了不良影响,有许多例子都可以举出来。
3.网络安全是一种“补充”
多数的企业网络建设中都会将有限资金放到网络边界和基础设施上,但是对计算环境尤其是终端安全的资金投入和重视程度不高。这种资金投入的比例严重失调必然会造成“短板效应”。
网络安全是一个系统,它不是防火墙,不是入侵检测系统,也不是我们虚拟专用网,当然,也不是哪个网管员根据厂商或者网上的一些资料加固系统范例。
我们常说的访问控制列表,它能够基于主机防火墙、文件访问控制为您提供网络层面和文件层面的控制,但它不是一个系统。对于一个真正的网络安全系统,以需要应用特定的威胁防御方法作为技术补充。例如在NTFS文件系统中,如果您针对了用户设置“读取访问权限”,那么这些访问文件的用户真的就不能修改这些文件了吗?答案是否定的。
我们设想一下,如果这个用户将可读取的文件存储为副本,那么这个文件的从属权是不是已经丢失了。所以,在文件访问控制列表的基础上增加数字证书或者水印功能,都是对访问控制列表的补充应用。
建议
如此看来,仅有防火墙和加密显然不够。网络管理员不仅要确保自己运行的软件版本最新、最安全,还要时时关注操作系统的漏洞报告,时时密切关注网络,寻找可疑活动的迹象。此外,他们还要对使用网络的最终用户给出明确的指导,劝他们不要安装没有经过测试的新软件,打开电子邮件的可执行附件,访问文件共享站点、运行对等软件,配置自己的远程访问程序和不安全的无线接入点,等等。