網(wǎng)絡(luò)技術(shù)：防火墻再遭質(zhì)疑專家稱不能保護(hù)銀行安全

根據(jù)網(wǎng)絡(luò)安全知名人士Nir Zuk，英國銀行正在投資數(shù)千英鎊在那些根本不見得能起到作用的防火墻上。
    Zuk是防火墻廠商Palo Alto Networks的首席技術(shù)官，他上周在倫敦的一次采訪中表示，在英國和其他地方的一些銀行使用防火墻來保護(hù)他們的網(wǎng)絡(luò)，但是他們認(rèn)為他們的網(wǎng)絡(luò)安全架構(gòu)沒有獲得成功。
    "在此方面我們與銀行方面進(jìn)行過會議溝通，我問他們，你們?yōu)槭裁匆梅阑饓?它能為你們做什么呢?幾乎沒有人可以給出一個正確的答案。"Zuk 說，"我問他們，如果你們將防火墻從網(wǎng)絡(luò)中移出會發(fā)生什么，他們最終總結(jié)說，他們的安全狀態(tài)不會發(fā)生改變，就算防火墻被移出。"
    銀行與其他企業(yè)一樣，使用同樣的防火墻技術(shù)。防火墻已經(jīng)不再是簡單地端口控制器(它可以識別或者屏蔽或支持基于與IP端口號的流量);端口號會告訴你，這些流量是來自網(wǎng)絡(luò)瀏覽還是電子郵件。
    今天的技術(shù)包括狀態(tài)防火墻，可以跟蹤網(wǎng)絡(luò)連接，例如TCP或UDP。換言之，一個狀態(tài)防火墻可連續(xù)分析每一個包，且不是孤立的。
    入侵檢測和防護(hù)技術(shù)，讓系統(tǒng)可以檢查每個包中是否含有惡意軟件。代理服務(wù)器還被設(shè)置在網(wǎng)絡(luò)服務(wù)器的前端，他們可以減低負(fù)載也可以作為過濾器，屏蔽惡意軟件的攻擊。
    然而，每一項技術(shù)都需要一個單獨(dú)的操作臺，每個都需要進(jìn)行安裝，使用電源和進(jìn)行管理，所以增加了操作支出。
    "防火墻的作用并不大，因為他們除了管理端口外能做到的事情不多。在過去的7年中，防火墻一直沒有改進(jìn)多少，因此用戶投資再多的錢在防火墻上也是無用。"Zuk說。
    安全廠商賽門鐵克的Tony Osborn不同意這一觀點(diǎn)，他說，在防御攻擊方面防火期的一線防護(hù)作用仍很重要。而防火墻覆蓋的范圍"已經(jīng)被重新確定，擴(kuò)大到雇員和企業(yè)的用戶范圍。"最后的結(jié)果是，企業(yè)需要把他們的安全嵌入到企業(yè)政策之中，他說。
    防火墻的問題只是很多問題中的一部分，Zuk說。"安全行業(yè)是建立在這樣的一個公理上的，那就是安全廠商必須要解決非常具體的問題，每個具體的問題都要用的技術(shù)來解決。"他說。但是，Zuk說，企業(yè)應(yīng)該期待的是更加全面的安全技術(shù)。考試大論壇
    安全分析和研究人員Jan Guldentops贊同Zuk的觀點(diǎn)，防火墻不能全面地保護(hù)銀行的安全。但是他說，更好的防火墻技術(shù)是可以解決這些問題的。
    "他是對的但他也是錯的。"Guldentops說，"你不能再通過端口來識別流量，因此你需要應(yīng)用程序的報告來查看連接和知曉發(fā)生了什么。"
    "那么問題就轉(zhuǎn)移到了邊界安全方面。從來就沒有什么網(wǎng)絡(luò)邊界，不法分子也從來都不在所謂的外面世界，他們是與你信任的人混在一起的。所以你才會遇到數(shù)據(jù)泄漏的事情，這就構(gòu)成了看起來合法的流量。"
    Guldentops表示，這個過程需要更高一層的水平。"我們從過濾端口開始，然后又使用狀態(tài)檢測防火墻，隨后我們增加了入侵檢測系統(tǒng)，現(xiàn)在我們需要應(yīng)用程序報告。下個級別意味著你需要一個更智能的防火墻。"他說。