摘要: 诚然,我们确信防火墙对各种攻击是非常有效的。但是,现在它们所带来的麻烦要比它们所带来的价值更大,再者,它们为用户创造了一种虚假的安全感,防火墙不过是一种心理安慰。 防火墙该滚蛋了!我说的都是现在大家心知肚明的事情。需不需要防火墙一直是一个值得讨论的话题,但是今...
诚然,我们确信防火墙对各种攻击是非常有效的。但是,现在它们所带来的麻烦要比它们所带来的价值更大,再者,它们为用户创造了一种虚假的安全感,防火墙不过是一种心理安慰。
防火墙该滚蛋了!我说的都是现在大家心知肚明的事情。需不需要防火墙一直是一个值得讨论的话题,但是今天来看,根本没有任何理由去使用这种东西。
从1980年代以来,电脑防火墙一直陪伴我们至今。坦白的说,早期的防火墙很显然没有起到实质性的作用。如果它们果真能做什么有用的事情的话,在很久以前,我们就可以打败恶意黑客和恶意软件了。但是至少在从前还是有相当的理由去使用防火墙的。
曾几何时,远程缓冲区溢出攻击是一种可怕的工具,在黑客的常用“兵器库”里面。只要你找到一个运行着很脆弱并且易于攻击的、开放的端口,然后,注入你的恶意代码,就这样,你就通过缓冲区溢出获取了所有的系统权限。
但是那已经成为过去了,真正的远程缓冲区溢出,那种可以让你监听到开放服务端口并发动攻击的工具,比如SQL Slammer和MS-Blaster,现在已经几乎绝迹了。
坦白地说,现在已经很难发动任何形式的缓冲区溢出破环了,更不用说远程缓冲区溢出。微软和其他的厂商都显著的提高了自身产品代码的质量,还提供优秀的、前瞻性的存储区保护机制,比方说DEP、ASLR,还有芯片级的NX/XD硬件保护机制。即便你找到一个可以共计的缓冲区溢出漏洞,它们大部分都不是运行在本地或者以超级管理员模式运行。
防火墙倾向于“变态”的管理模式,差不多没人能够去认真的去读监控日志或者对已报告的事件做出响应,我能去怪谁呢?几乎所有的防火墙产品每个小时发出成千上万的警报信息,谁可以找到有价值的、可以控制的信息在这一大堆的垃圾信息里面?我没那个能力,迄今为止,我也没见过任何人可以做到。
更糟糕的是,当我去评测防火墙的时候,几乎所有的产品都有可恶的规则设置。我发现许许多多的防火墙使用“任意、任意”规则去除防护屏障。我不确定我是否应该归咎于那些可怜的、被误导的那些制定规则的人,防火墙还经常阻止正常的进程,这些都是那些规则造成的直接后果。
我经历过很多这样的事情,“打开防火墙让我们看看是否会带来麻烦,但是,没有什么事情发生,一切工作正常。好的,我们需要运行那个程序,然后再打开防火墙。”这在我作为网络管理员的职业生涯中遇到过不止一次两次,这些天来,我为安全评测、补丁和其他常规的网络管理等辛苦工作,只为了解决防火墙的问题。
CBSi中国·ZOL 作者:王宪阁
