<!—如果你过去认为防火墙能够提供几乎所有的“防弹”保护,能够抵卸攻击— 那么现在再猜一猜。-->
直到最近,在我想起防火墙时,就在脑子里画出一道墙,一件从本质不受损害的东西。这不是说我把防火墙当作网络安全的全部和最终手段。总是有许多机会,可以越过或者绕过防火墙。虽然从技术上来说,越过防火墙是完全可能的,但是实际上要突破防火墙,可行性不大。所以,我认为防火墙对有限的,但是非常重要的一类攻击,提供了差不多全部的“防弹”保护。
但是,这种情况在7月26日这天发生了变化。当我坐在洛杉矶的一间拥挤的会议室的时候,我看到了一群黑客,他们正在互联网上最流行的防火墙上尽情嬉戏—不是一次两次,在两个半小时的演示里,总共超过10次。而且,演示的大多数攻击手段都可以稍加修改,就用来攻击目前可用的几乎所有防火墙产品。我从没有看到,有这么多系统管理员表现出比这次更震惊,更恐慌的时候。
当时的演示涉及了大范围的漏洞。多数防火墙是通过远程进行管理的,通过加密技术来确认有权访问的人员。所以,在认证协议里的一个小错误就足可以让攻击者假扮管理员。
防火墙可以对进入的数据包进行检查,但这种检测的能力是有限。比如,攻击包可以分成几个不同的数据包,或者一个实施不当的VPN虚拟专网可能使防火墙无法查看关键数据。
这时,你能做什么呢?首先-快跑-不要慢走-赶紧跑到你的机器前,强化客户的防火墙,以防止这些攻击。请考虑下面的防护措施:
使用最强的认证协议,最好是基于 Kerberos 或 PKI的解决方案。如果防火墙不支持强认证,赶紧换一个新的防火墙。如果做不到,就请考虑关闭远程管理,不管是不是会带来麻烦。
要绝对保证防火墙的抗欺骗保护配置正确,在许多攻击的数据包里都有伪造的源地址。如果防火墙没有抗欺骗机制,赶紧换个新的防火墙。
防火墙是否强制实行公司能够接受的最严格的访问规则?请使用缺省的"deny all"拒绝一切规则,只允许明确分配的连接通过。永远不要使用允许来自 "any source"(任意源地址)或发往 "any destination"(任意目标地址)这样的规则。拒绝对广播或多点广播地址的访问。
虽然这些步骤能够减少风险,能够保护客户的站点,但是,请记住,没有永远防弹的防火墙。不要相信任何防火墙能够挡住攻击者-要建立多条防线。可以考虑使用不同厂家的多个防火墙,安装入侵检测(IDS)系统,强化每个主机。必须在客户网络的每一点上建立安全的系统,而不能仅仅把安全建立在外周系统上。
