服務(wù)器防火墻（開(kāi)防火墻的必要性）

防火墻一直以來(lái)都問(wèn)題不斷，如今更是沒(méi)有理由繼續(xù)用它，因?yàn)槊鎸?duì)現(xiàn)代攻擊毫無(wú)效果的東西要來(lái)何用?但這種結(jié)論只適用于傳統(tǒng)防火墻，最新世代的防火墻能提供客戶端防御及網(wǎng)絡(luò)防護(hù)，不僅有用，還是必需品。下面創(chuàng)新互聯(lián)服務(wù)器托管來(lái)帶大家了解一下，以下是內(nèi)容詳情：

傳統(tǒng)防火墻擅長(zhǎng)抵御的攻擊

傳統(tǒng)防火墻只能阻止或允許特定IP地址和端口，能防護(hù)的東西相當(dāng)有限。最常見(jiàn)的應(yīng)用場(chǎng)景就是阻止未授權(quán)用戶或惡意軟件連接未受保護(hù)的監(jiān)聽(tīng)服務(wù)或守護(hù)進(jìn)程。即便忽視路由器在IP/端口過(guò)濾上的超高效率，時(shí)代和攻擊類型也發(fā)生了改變，傳統(tǒng)防火墻如今很大程度上形同虛設(shè)。

20年前，阻止未授權(quán)連接很有意義。大多數(shù)計(jì)算機(jī)都防護(hù)不嚴(yán)，口令也弱，不僅滿載渾身漏洞的軟件，還往往開(kāi)放有允許任何人登錄或連接的服務(wù)。發(fā)個(gè)畸形網(wǎng)絡(luò)包就能搞掉普通的服務(wù)器，而且這還是在管理員沒(méi)設(shè)置允許匿名連接的完全管理員權(quán)限遠(yuǎn)程服務(wù)的情況下才需要，如果設(shè)了這種遠(yuǎn)程管理服務(wù)，那基本上可以隨隨便便摸進(jìn)服務(wù)器。至于Windows的匿名NETBIOS連接，在 Windows XP 默認(rèn)禁止前的15年里，一直都是黑客的寶貴財(cái)富。

如果你的防火墻只是用于封禁未授權(quán)IP地址或協(xié)議，那用個(gè)路由器會(huì)好得多，也快得多。計(jì)算機(jī)安全界有句格言：“選最快最簡(jiǎn)單的方法?！闭f(shuō)的就是這個(gè)道理，如果有什么東西是可以用更快更有效率的設(shè)備加以封堵的，那就將那臺(tái)設(shè)備用作你的第一道防線。這樣會(huì)更快更有效率地摒除更多你不想要的流量。路由器的“上層”代碼要比防火墻少很多，規(guī)則列表也更短。路由器的條件決策循環(huán)比防火墻快上幾個(gè)數(shù)量級(jí)。不過(guò)，如今的威脅環(huán)境下，還需不需要封禁這些未授權(quán)連接，這一點(diǎn)難說(shuō)。

防火墻最擅長(zhǎng)阻止對(duì)監(jiān)聽(tīng)服務(wù)的未授權(quán)遠(yuǎn)程連接，可以防止攻擊者在連接后利用緩沖區(qū)溢出接管計(jì)算機(jī)的控制權(quán)。這正是防火墻誕生的最主要原因。有缺陷的服務(wù)太常見(jiàn)了，都已經(jīng)被認(rèn)為是常態(tài)。沖擊波、Slammer蠕蟲(chóng)之類的惡意程序利用這些服務(wù)可以在幾分鐘里席卷全世界。

現(xiàn)在的服務(wù)并沒(méi)有那么脆弱。程序員如今使用的編程語(yǔ)言默認(rèn)就會(huì)檢查緩沖區(qū)溢出。用來(lái)阻止傳統(tǒng)漏洞利用方法的其他操作系統(tǒng)計(jì)算機(jī)安全措施也很擅長(zhǎng)做這事兒。微軟每年都能在其產(chǎn)品線上發(fā)現(xiàn)130-150個(gè)漏洞。自2003年算起，發(fā)現(xiàn)的漏洞數(shù)約2000個(gè)。但只有5-10個(gè)是僅供遠(yuǎn)程利用的。同一時(shí)期，蘋果和Linux機(jī)器的漏洞更多，但僅可遠(yuǎn)程利用的漏洞進(jìn)程占比是一樣的。

必須明確一點(diǎn)：雖然可利用的脆弱服務(wù)成百上千，但幾乎全都需要本地終端用戶做點(diǎn)兒什么才能發(fā)起攻擊。要么是點(diǎn)擊惡意鏈接，要么是訪問(wèn)掛馬網(wǎng)站。為什么必須本地用戶參與?因?yàn)橹挥挟?dāng)終端用戶這么做的時(shí)候，才可以創(chuàng)建一條“經(jīng)允許”的出站連接，然后順理成章地再來(lái)一條“經(jīng)允許”的入站連接回連到用戶的計(jì)算機(jī)。如今所有攻擊幾乎都是“客戶端”攻擊，而防火墻并不擅長(zhǎng)阻止此類連接。

端口阻塞不再有效

每個(gè)服務(wù)都用自身固定TCP/IP端口的時(shí)期，比如FTP用21/22、SMTP用25，這樣說(shuō)來(lái)，傳統(tǒng)防火墻要更為有用些。

今天，全世界的網(wǎng)絡(luò)流量大部分都走80(HTTP)和443(HTTPS)端口，而且只用后者的情況會(huì)越來(lái)越多。那些尚未走443端口的網(wǎng)絡(luò)流量在未來(lái)幾年里也會(huì)切到443上的。如果什么都綁定在少量幾個(gè)端口上，那端口阻塞還有什么意義?不止如此，HTTPS默認(rèn)加密的特性也會(huì)讓流量過(guò)濾更難以執(zhí)行。

邊界正在消失

防火墻是典型的安全域邊界。定義出兩三個(gè)安全邊界就可以用防火墻控制其間的流量。然而，這些有效的、可保安全的邊界，這10年來(lái)一直在衰落。邊界從來(lái)都不完美，但自從我們開(kāi)始將互聯(lián)網(wǎng)接入其他網(wǎng)絡(luò)，開(kāi)始將WiFi路由器接入各種網(wǎng)絡(luò)，邊界就真正步入消亡了。

只有一兩個(gè)網(wǎng)絡(luò)邊界時(shí)，防火墻還能有點(diǎn)用，但當(dāng)我們開(kāi)始添加“隔離區(qū)(DMZ)”和其他“授權(quán)網(wǎng)絡(luò)”時(shí)，防火墻就顯得不夠用了。而當(dāng)長(zhǎng)期聯(lián)網(wǎng)成為常態(tài)，我們不得不承認(rèn)，邊界和傳統(tǒng)防火墻的末日到了。

長(zhǎng)期以來(lái)，很多IT安全人員都認(rèn)為我們還擁有安全邊界，但只要一審計(jì)，就會(huì)發(fā)現(xiàn)這些邊界根本就漏得跟篩子一樣。因?yàn)榕缕茐牧四承╆P(guān)鍵服務(wù)或應(yīng)用，網(wǎng)絡(luò)管理員基本上都會(huì)放行每個(gè)未定義的流量路徑。

防火墻管理糟糕

除了虛假的邊界安全感，大多數(shù)防火墻還管理糟糕。幾乎所有家庭用戶都不知道防火墻是什么、有什么用，即便自家電腦上默認(rèn)開(kāi)啟了防火墻，他們也從未關(guān)注或配置過(guò)。企業(yè)端的情況也不見(jiàn)得好到哪兒去，盡管企業(yè)安全人員有時(shí)候會(huì)自欺欺人地覺(jué)得自己做得還好。

企業(yè)防火墻正確配置的情況真的很少見(jiàn)，一半以上都部署的是瘋狂的“任意()”規(guī)則，完全失去了設(shè)置防火墻的意義。絕大多數(shù)防火墻允許的流量通路和協(xié)議都比業(yè)務(wù)所需范圍要廣得多。而且，即使防火墻最初是正確配置的，只需一年時(shí)間，大多數(shù)企業(yè)就不得不為自己造成的防火墻配置泥潭花錢購(gòu)買可以更好地管理防火墻配置的軟件。未授權(quán)配置更改讓公司企業(yè)無(wú)暇顧及怎么用防火墻保護(hù)自身安全。

糟糕的日志也是傳統(tǒng)防火墻痛點(diǎn)之一。絕大多數(shù)防火墻日志都包含百萬(wàn)條事件記錄，雖然記錄詳盡準(zhǔn)確，但對(duì)真正的安全防護(hù)來(lái)說(shuō)毫無(wú)用處。防火墻的“噪音”實(shí)在太大，管理員應(yīng)該注意的潛在有用事件反而被淹沒(méi)了。

另外，企業(yè)防火墻的修復(fù)情況也不容樂(lè)觀。保持更新，完全修復(fù)的防火墻少之又少。很多設(shè)備防火墻中存在公開(kāi)已知漏洞。這些防火墻已經(jīng)不是安全防線，反而成為了潛在的攻擊界面。

智能防火墻怎么樣?

今天的防火墻不僅僅是過(guò)濾端口和套接字，還帶有VPN或HTTPS檢查功能，甚至可以執(zhí)行入侵檢測(cè)/防御、URL過(guò)濾、上層攻擊阻塞、DDoS攻擊阻止和內(nèi)聯(lián)修復(fù)等等操作。防火墻已經(jīng)進(jìn)化到遠(yuǎn)遠(yuǎn)超出簡(jiǎn)單的端口和協(xié)議封禁的程度了。

IP地址和端口過(guò)濾這種傳統(tǒng)防火墻操作已經(jīng)沒(méi)有太大價(jià)值，但今天的大多數(shù)防火墻所做的遠(yuǎn)不止這些。防火墻已經(jīng)從嚴(yán)格的邊界防線，進(jìn)化到了內(nèi)部脆弱核心的防護(hù)層。如果仔細(xì)觀察如今的防火墻所提供的各種服務(wù)，你會(huì)發(fā)現(xiàn)用于客戶端防護(hù)的和用于網(wǎng)絡(luò)防護(hù)的幾乎一樣多。這是件好事兒，廣受歡迎，且好處多多。

如果你正考慮購(gòu)買新的防火墻，不妨關(guān)注那些提供可以消解大風(fēng)險(xiǎn)的控制功能的(如：URL過(guò)濾、補(bǔ)丁發(fā)現(xiàn)、內(nèi)聯(lián)修復(fù))。畢竟，現(xiàn)代防火墻不應(yīng)該和父母輩用的是同款。

創(chuàng)新互聯(lián)是國(guó)內(nèi)較早的互聯(lián)網(wǎng)應(yīng)用服務(wù)提供商，累計(jì)現(xiàn)在全國(guó)30多個(gè)數(shù)據(jù)中心資源，阿里云、百度云、騰訊云、中國(guó)西部信息中心、成都電信機(jī)房、綿陽(yáng)電信機(jī)房、重慶服務(wù)器數(shù)據(jù)中心。在成都、重慶、綿陽(yáng)均有服務(wù)團(tuán)隊(duì)。

我司目標(biāo)是建設(shè)成為中國(guó)的網(wǎng)絡(luò)平臺(tái)服務(wù)提供商，并為這目標(biāo)的實(shí)現(xiàn)制定了可持續(xù)的企業(yè)發(fā)展綱略，組建了具有豐富網(wǎng)絡(luò)從業(yè)經(jīng)驗(yàn)的現(xiàn)代型企業(yè)團(tuán)隊(duì)，主要向國(guó)內(nèi)外用戶提供包括、服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、帶寬租用、云服務(wù)器等方面的專業(yè)網(wǎng)絡(luò)服務(wù)。創(chuàng)新互聯(lián)基于成都重慶香港及美國(guó)等地區(qū)分布式IDC機(jī)房數(shù)據(jù)中心構(gòu)建的電信大帶寬，聯(lián)通大帶寬，移動(dòng)大帶寬，多線BGP大帶寬租用,是為眾多客戶提供專業(yè)服務(wù)器托管報(bào)價(jià)，主機(jī)托管價(jià)格性價(jià)比高，為金融證券行業(yè)服務(wù)器托管，ai人工智能服務(wù)器托管提供bgp線路100M獨(dú)享，G口帶寬及機(jī)柜租用的專業(yè)成都idc公司。

以上就是“服務(wù)器防火墻（開(kāi)防火墻的必要性）”的全部?jī)?nèi)容，如果大家想咨詢服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、帶寬租用、云服務(wù)器等相關(guān)價(jià)格，敬請(qǐng)關(guān)注我們創(chuàng)新互聯(lián)官網(wǎng)(www.muchs.cn)，或者加微信/電話聯(lián)系：13518219792 進(jìn)行咨詢。

名稱欄目：服務(wù)器防火墻（開(kāi)防火墻的必要性）
轉(zhuǎn)載注明：http://www.muchs.cn/news8/267808.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供靜態(tài)網(wǎng)站、App開(kāi)發(fā)、標(biāo)簽優(yōu)化、商城網(wǎng)站、網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)