隨著應(yīng)用和威脅環(huán)境的迅速發(fā)展，對許多企業(yè)的影響是：信息技術(shù)(IT)部門已經(jīng)失去了控制。因為現(xiàn)有的安全基礎(chǔ)設(shè)施已無法有效地對那些不好的與壞的、希望的或不需要的應(yīng)用進行區(qū)分，也使大多數(shù)IT商店采取了僵硬且荒唐的“全有或全無”的安全方法，這就造成了：

　　?以一個寬容的態(tài)度 -- 確保重要應(yīng)用的訪問能力，允許企業(yè)網(wǎng)絡(luò)上有不需要應(yīng)用和威脅;

　　?只是說“不”，維持較高的安全狀態(tài)，但限制了業(yè)務(wù)靈活性和生產(chǎn)效率，疏遠用戶和業(yè)務(wù)部門，并建立后門處理的地下亞文化，規(guī)避安全控制;

　　這時，IT需要運用粒度控制的功能，提供各種應(yīng)用級的深入保護，對業(yè)務(wù)和最終用戶的合法要求能夠自信地說“是”。不幸的是，傳統(tǒng)的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施未能跟上時代的發(fā)展，無法提供此項功能。

　　在本部分，你能了解新應(yīng)用和威脅環(huán)境是如何挑戰(zhàn)這些傳統(tǒng)的安全設(shè)備，尤其是防火墻，以及如何超出了他們的能力，無法有效地保護當今的網(wǎng)絡(luò)。

　　防火墻出了什么事?

　　你有沒有注意到，現(xiàn)在已經(jīng)沒有人對防火墻感到興奮了?曾經(jīng)有一段時間，防火墻是網(wǎng)絡(luò)中單一最重要的安全設(shè)備。這到底發(fā)生了什么?

　　答案有點老生常談：是因特網(wǎng)改變了一切!幾年前，多數(shù)防火墻對進出企業(yè)網(wǎng)絡(luò)流量的控制做得不錯。這是因為應(yīng)用的行為通常良好。電子郵件通常會走25號端口，文件傳輸(FTP)走20號端口，整個“網(wǎng)上沖浪”都掛在80號端口。每個人都按規(guī)則“端口+協(xié)議=應(yīng)用程序”辦事，防火墻讓一切能夠控制。阻塞端口意味著阻止應(yīng)用，很好而且簡單。

　　不幸的是，因特網(wǎng)從來沒有真正的很好與簡單。今天的情形比以往任何時候都更真實。如今，因特網(wǎng)往往占用企業(yè)網(wǎng)絡(luò)70%以上的流量。而且不光使用80端口進行Web沖浪。通常情況下，20%至30%是加密的SSL通信，使用443號端口，更糟糕的是，有過多的新因特網(wǎng)應(yīng)用堅持使用自己的規(guī)則。他們把自己包裹在其他協(xié)議中，用不屬于他們的端口潛行，把自己埋入SSL隧道?？傊麄兙褪遣话匆?guī)矩出牌。

　　所有這些應(yīng)用對業(yè)務(wù)都帶入了一些風險。面對新威脅他們扮演成好客的主人，讓他們可以輕易地溜過防火墻而不被發(fā)現(xiàn)。同時，防火墻還傻呆在那里，好像一切正常，什么都沒有發(fā)生，因為它依舊按照已經(jīng)過時的規(guī)則在玩游戲!

　　基于端口的防火墻視力糟糕

　　因為部署在關(guān)鍵網(wǎng)絡(luò)結(jié)點的線路中，所以防火墻能看到所有流量，因此，它是理想的、提供合適粒度訪問控制的設(shè)備。但問題是，大多數(shù)老防火墻都為“高瞻遠矚”型，他們只能看到事物的一般形狀，不能看見事情實際發(fā)生的細節(jié)。這是因為它們通過推斷應(yīng)用層的服務(wù)來操作，基于數(shù)據(jù)包報頭中使用的端口號，而且只看會話中的第一個包，就決定處理的流量類型。它們依賴于一種慣例-- 不是必須-- 即一個給定端口對應(yīng)一種給定服務(wù)(例如，TCP端口80對應(yīng)HTTP協(xié)議)。正因為如此，它們還不能區(qū)分使用同一端口/服務(wù)的不同應(yīng)用(參見圖3-1)。

　　圖3-1：基于端口的防火墻無法看到或控制應(yīng)用

　　最終的結(jié)果是：傳統(tǒng)的“基于端口”的防火墻已經(jīng)基本失明。除了無法識別常見的逃避技術(shù)：諸如跳端口、協(xié)議隧道和使用非標準端口，這些防火墻也缺乏可視性和智能辨別網(wǎng)絡(luò)流量：

　　?對應(yīng)于服務(wù)合法商業(yè)目的的應(yīng)用;

　　?對應(yīng)于可以成為合法商業(yè)目的、但是在實例中用于未經(jīng)批準活動的應(yīng)用;

　　?因為包含惡意件或其他類型的威脅，即使對應(yīng)于合法商業(yè)活動的應(yīng)用也應(yīng)該阻止。

　　在這所有之上，他們的控制模型粒度通常過于粗大。防火墻可以阻止或允許流量通過，但對所有的“灰色”應(yīng)用應(yīng)提供一些適合的反應(yīng)，會讓企業(yè)最終偏向支持-- 例如，在應(yīng)用中允許某些功能，而阻止其他功能;允許流量通過，但同時也使用流量整形策略;允許但要掃描威脅或機密數(shù)據(jù)，或者基于用戶、小組或一天中某個時間里允許。

　　固定功能是根本性缺陷

　　傳統(tǒng)防火墻的許多銷售商試圖通過結(jié)合深層包檢測(DPI)功能，來糾正產(chǎn)品無遠見的性質(zhì)。從表面上看，這種方式增加了應(yīng)用層的可見和控制，似乎是一種合理的方法。然而，在多數(shù)情況下，雖然“綁定”功能可以增加安全效能，但綁定的基礎(chǔ)開始就很薄弱。換句話說，新功能是加到而非集成到防火墻，老防火墻完全缺乏應(yīng)用意識，仍使用流量的原始分類。這導(dǎo)致的問題和局限包括：

　　?不應(yīng)該上網(wǎng)的應(yīng)用允許進入網(wǎng)絡(luò);

　　?不該檢查的應(yīng)用進行了檢查。因為防火墻無法對應(yīng)用準確分類，所以可能把錯誤的會話傳送到DPI引擎，造成了檢查的問題;

　　?策略管理搞得令人費解。如何處理各種應(yīng)用的規(guī)則基本上得到是產(chǎn)品DPI部分內(nèi)的“嵌套”—它本身就是更高/更外級訪問控制策略的一部分;

　　?不足的性能被迫需要進行妥協(xié)。系統(tǒng)資源、CPU和內(nèi)存密集型應(yīng)用層功能的低效利用對下層平臺施加了相當大的壓力?？紤]到這種情況，管理員可以只能選擇先進的過濾功能。

　　防火墻“幫手”不幫忙

　　多年來，企業(yè)也試圖實施一系列補充方案來彌補防火墻的不足，這往往采用獨立設(shè)備的形式。入侵防御系統(tǒng)、防病毒網(wǎng)關(guān)、Web過濾產(chǎn)品和特定應(yīng)用解決方案-- 如為即時通訊安全提供專用平臺-- 只是少數(shù)較受歡迎的選擇。不幸的是該結(jié)果類似于DPI方法，令人失望且增加了糾結(jié)。

　　不該檢查的應(yīng)用進行了檢驗，因為這些防火墻的幫手要么看不到所有的流量，基于端口和協(xié)議的分類方法已經(jīng)在傳統(tǒng)的防火墻中失敗了，要么僅能覆蓋一組有限的應(yīng)用。策略管理甚至是更大的問題，因為訪問控制規(guī)則和檢查要求分布在幾個控制臺，涉及多個策略模型。性能仍然也是個問題，具有相對高的累計延遲。

　　接下來問題是：設(shè)備無序擴張。各種“解決方案”設(shè)備陸續(xù)添加到網(wǎng)絡(luò)中，設(shè)備數(shù)量、復(fù)雜程度和總體擁有成本都不斷上升。為產(chǎn)品本身和支持所有基礎(chǔ)設(shè)施的成本，需要大量的經(jīng)常性業(yè)務(wù)支出，其中包括支持/維護合同、內(nèi)容訂閱以及設(shè)施成本(電源、冷卻和現(xiàn)場空間)-- 還沒提到一系列“軟”成本，如有關(guān)的IT效率、培訓(xùn)、供應(yīng)商管理。該結(jié)果是一種無效的、代價高昂的工作，是不??可持續(xù)的。

　　傳統(tǒng)侵入防御系統(tǒng)(IPS)對今日的威脅是一場可憐的比賽

　　入侵防御系統(tǒng)(IPS)檢測和阻止攻擊，重點針對存在于系統(tǒng)和應(yīng)用的漏洞。不像入侵檢測系統(tǒng)(IDS)只集中于警報，IPS系統(tǒng)一般部署在線中，因為一旦檢測到入侵，就必須積極阻斷攻擊。IPS的一個核心功能是協(xié)議解碼，這能更準確地判斷應(yīng)用。IPS的這個特性可以用于流量的特定部分，從而減少了系統(tǒng)僅用端口+服務(wù)造成的出錯發(fā)生率。要注意的是大部分IPS產(chǎn)品使用端口和協(xié)議作為流量分類的第一關(guān)，這里，考慮到今天應(yīng)用的回避特性，可能會導(dǎo)致應(yīng)用的誤識別。而且，由于IPS系統(tǒng)主要是針對攻擊，它們通常與防火墻結(jié)合部署，作為單獨設(shè)備或作為防火墻與IPS組合使用。

　　IPS使用“找到它，殺死它”的方法來停止威脅。它不是用來控制應(yīng)用。但即使能停止威脅，IPS也有自己的缺陷。

　　在給定的新應(yīng)用和威脅環(huán)境中，企業(yè)也要重新審查傳統(tǒng)入侵防御系統(tǒng)(IPS)。主要的IPS廠商都在努力超越IPS的幾個基本要素，以示與眾不同：

　　?服務(wù)器和數(shù)據(jù)中心保護。因為只有少數(shù)檢測和預(yù)防技術(shù)，因此大部分IPS產(chǎn)品都支持他們。這些技術(shù)包括協(xié)議異常檢測、狀態(tài)模式匹配、統(tǒng)計異常檢測、啟發(fā)式分析、阻止無效或異常包、IP碎片整理和TCP重新組裝(用于防止逃避)。多數(shù)IPS廠商也使用面向漏洞特征(而不是面向利用特征)，并關(guān)閉服務(wù)器到客戶端保護提高性能。

　　?研究和支持。這取決于供應(yīng)商做了多少實際研究，能夠多快做出反應(yīng)，幫助企業(yè)抵御新的攻擊和漏洞。IPS供應(yīng)商的研發(fā)團隊做了很多的工作，同時保持一定的差異，多數(shù)的研究外包給行業(yè)研究的中堅分子。另一方面也至關(guān)重要-- 不管誰做的研究– 供應(yīng)商必須及時提供更新，保護客戶免受新的威脅。

　　?性能。企業(yè)顯然對IPS的性能問題非常敏感。最近的Infonetics研究指出，引入流量/應(yīng)用延遲和帶寬/性能是企業(yè)部署“帶外”IPS的主要關(guān)切。很顯然，能夠跟上企業(yè)的預(yù)期吞吐量和延遲是為眾多客戶的首要考慮。

　　隨著防御的成熟，攻擊者也在進化。給定的入侵檢測和防護系統(tǒng)，如防火墻基于相對很好理解的傳統(tǒng)技術(shù)，所以新攻擊可以利用眾所周知的弱點，其中包括：

　　?應(yīng)用傳播威脅。威脅開發(fā)者正使用應(yīng)用，即可以作為目標，也可以作為傳輸載體。應(yīng)用為這兩種方法提供了肥沃的土壤。有些應(yīng)用傳播威脅很好理解(例如，許多威脅跨越社交網(wǎng)絡(luò)移動-- Koobface，Boface或Fbaction)-- 其他不容易理解(如蝴蝶，使用MSN Messenger和P2P文件共享應(yīng)用來傳播)。不管怎樣，攻擊者發(fā)現(xiàn)哪種應(yīng)用更容易搭載，他們就開始對客戶端攻擊。

　　?加密威脅載體。威脅使用的另一項重要技術(shù)是加密。盡管安全研究人員已經(jīng)警告多年，加密可以被各種威脅利用，加密的攻擊仍需要一個管道–進入用戶中心的應(yīng)用。用戶很容易受騙點擊加密鏈接(太多的用戶認為HTTPS意味著“安全”)，這可發(fā)送加密的威脅，穿過企業(yè)的防御。這在社交網(wǎng)絡(luò)上越來越簡單，而那里的信任程度是非常高的。其他密切相關(guān)的載體是通過壓縮來混淆-- 傳統(tǒng)的IPS不能解壓縮，因此不能掃描壓縮的內(nèi)容。

　　這里的共同主題是需要控制層防止這些新威脅 --控制應(yīng)用和內(nèi)容、SSL解密、解壓縮內(nèi)容查找威脅-- 所有這些都遠遠超出了傳統(tǒng)IPS能做的。 IPS的主要限制是它仍然是一種消極安全模型，而且架構(gòu)就是這樣了。盡管從IDS(入侵檢測系統(tǒng))到IPS轉(zhuǎn)換做了很多工作。更簡單地說，IPS依賴于“找到它，殺死它”的模式--對于許多轉(zhuǎn)移過來應(yīng)用的新威脅，它不能很好地完成工作，進行必要的控制，也不能為自己的架構(gòu)和平臺提供解密能力和流量分類。

　　積極的安全模型，應(yīng)使良性的、適當?shù)幕虮匾乃型ㄐ耪＿\行，并排除其他一切干擾。消極的安全模型，只尋求對不良的通信和內(nèi)容分類，采用已知的策略運行。

　　UTM使破壞更便宜

　　統(tǒng)一威脅管理(UTM)設(shè)備是另一種新的方法，基于傳統(tǒng)技術(shù)面對現(xiàn)代的安全挑戰(zhàn)。為了降低部署成本，當安全廠商開始為狀態(tài)防火墻捆綁入侵防御和防病毒插件時，UTM的解決方案誕生了。 UTM產(chǎn)品不比單機設(shè)備執(zhí)行的功能更好。而是把多個功能集成到一個設(shè)備，為顧客提供方便。不幸的是，當UTM啟動運行時，有不準確、難以管理，性能不佳的問題;設(shè)備只在下面的環(huán)境中使用：只用于整合，而不關(guān)心功能、管理和性能。

　　UTM解決方案的主要優(yōu)點是：它通常只做與設(shè)備擴展有關(guān)的工作。而沒有獨立設(shè)備具有的“幫手”對策，UTM是全包括的物理包裝。

　　但這又怎樣呢?其結(jié)果與捆綁的方法沒有什么不同，因此，具有相同的缺陷。不充分的應(yīng)用分類和有盲點的檢查仍是根本問題，由于必須考慮多個對策，所以性能和策略管理問題變得更加復(fù)雜。

　　是解決防火墻問題的時候了

　　基于端口的傳統(tǒng)防火墻已不能提供任何價值-- 不在過去的世界里了，現(xiàn)在的情況是：網(wǎng)絡(luò)邊界正在瓦解，互聯(lián)網(wǎng)應(yīng)用正在爆炸。

　　而你已經(jīng)知道了，這就是為什么你一直要用更專業(yè)的設(shè)備-- 入侵防御系統(tǒng)、代理服務(wù)器、防病毒、防間諜軟件，URL過濾等來彌補這些不足。當然，這些工具增加了一些價值，但越來越多地增加了額外成本和復(fù)雜性-- 尤其在充滿挑戰(zhàn)的經(jīng)濟時代。

　　更多的安全設(shè)備并不一定意味著更安全的環(huán)境。事實上，這樣的做法相關(guān)的復(fù)雜性和不一致性實際上損害了企業(yè)的安全。

　　2009年2月，網(wǎng)絡(luò)世界雜志社采訪了信諾(Cigna)公司的首席信息安全官(CISO)克雷格?舒馬德，談到在企業(yè)中安防產(chǎn)品的增長堆棧是“不可持續(xù)”的，他把它比做“比薩斜塔”，他說：“我們不能繼續(xù)運行15至25或更多個安全產(chǎn)品，我們不能繼續(xù)只添加新的安全產(chǎn)品，并期望能有效地使用它們”。顯然，這是個沒有限度的策略。更重要的是，這些增加的產(chǎn)品沒有給應(yīng)用在網(wǎng)絡(luò)上運行為用戶提供需要的可見和控制。

　　現(xiàn)在是解決核心問題的時候了。也是改變防火墻的時候了!畢竟，防火墻位于網(wǎng)絡(luò)中最重要的地方，是一切進入和離開網(wǎng)絡(luò)可見和控制的中心點。