没有防火墙虽可行但并不理想
来源:安全中国 更新时间:2012-04-13

IT专业人员称,像圣地亚哥超级计算机中心(SDSC)那样没有防火墙也能达到牢固的企业安全效果肯定是可能的。但是,这并不意味着他们要从自己的环境中取消防火墙。

  SearchSecurity.com网站星期一发表一篇文章,介绍了SDSC如何在不使用防火墙的情况下在六年里只发生一次安全突破事件的事迹。IT专业人员正是对这个消息发表了上述评论。

  在波士顿举行的2006年USENIX年度技术会议上,SDSC安全技术事业部的计算机安全经理Abe Singer介绍说,他的机构通过基于主机的安全措施把入侵减少到了最低的限度。这些安全措施包括集中的设置管理系统、定期和频繁地使用补丁以及包括禁止使用明文口令在内的严格的身份识别措施。

  Singer说,有一个关于防火墙的“可怕的真相”:防火墙有性能问题,容易出现一连串的故障,修改一个网络规则可能导致网络的其它地方出现安全漏洞。他还说,防火墙不能保护机构防止在环境内部工作的恶意用户的攻击。许多企业过于相信防火墙而牺牲了其它的必要的防御措施。

  包括Scott Evans在内的读者一般都同意这个观点。Scott Evans是一家位于亚特兰大的通信公司的技术支持专业人员,正在攻读信息安全的学士学位。他说,他曾在一家公司工作。那家公司在VPN连接、身份识别和路由等方面都使用防火墙设备。有一天,那台防火墙设备出现了故障,公司内部和外部的用户都没有办法访问任何公司资源。

  他在电子邮件中说,这是公司专门依赖一种防火墙设备进行保护的例子。按照他的意见,企业还必须依靠强大安全政策发现最重要的资产的保护需求,集中管理主机和身份识别方式,并且强调对最终用户进行教育。

  大多数读者仍然表示,有一个防火墙作为一个多层次安全计划的一部分会更好一些。将近80%的接受SearchSecurity.com网站调查的读者表示,防火墙不能医治百病,但是,防火墙是多层次安全计划中的一个关键组成部分。只有4%的受访者表示,无论在什么情况下都应该使用防火墙。16%的受访者表示,没有防火墙也可能有一流的安全。

  位于纽约州首府奥尔巴尼市的Times Union(时代联合报)报纸的运营经理Jeffrey Wilson说,我确实认为许多人有一个防火墙就满足了。他们认为防火墙是网络安全的万灵药,其实并非如此。防火墙仅仅是配置良好的面向互联网的网络中应该安装的许多安全工具之一。

  Wilson表示,他坚信纵深防御的理论。纵深防御包括防火墙、入侵防御系统、使用补丁、VLAN配置、代理服务器、杀毒、强大的政策和执行这些政策的强大的工具。他问道,没有防火墙网络能够得到充分的保护吗?也许可以。但是,这就相当于你不坐飞机从纽约到洛杉矶,而是走着去。你为什么要那样做呢?

  波士顿的安全专业人员Jim Weiler说,没有防火墙的方法在不到100台机器、配置较少和互联网接入点很少的小环境中是可能实现安全的。但是,在大型环境的多层次防御中增加防火墙是值得的,特别是在电子商务网站。事实上,为了遵守安全法规,一些公司必须要有防火墙。

  开放网络应用安全计划组织(OWASP)波士顿的负责人Weiler说,这是支付卡行业数据安全标准的要求,是一种经过认真考虑的和普通的做法。因此,从减少责任的观点来看,防火墙也是必要的。