防火墙再遭质疑 专家称不能保护银行安全

DoSECU 安全报道 10月13日消息：根据 网络安全知名人士Nir Zuk，英国 银行正在投资数千英镑在那些根本不见得能起到作用的 防火墙上。

Zuk是防火墙厂商Palo Alto Networks的首席技术官，他上周在伦敦的一次采访中表示，在英国和其他地方的一些银行使用防火墙来保护他们的网络，但是他们认为他们的网络安全架构没有获得成功。

"在此方面我们与银行方面进行过会议沟通，我问他们，你们为什么要用防火墙？它能为你们做什么呢？几乎没有人可以给出一个正确的答案。"Zuk说，"我问他们，如果你们将防火墙从网络中移出会发生什么，他们最终总结说，他们的安全状态不会发生改变，就算防火墙被移出。"

银行与其他企业一样，使用同样的防火墙技术。防火墙已经不再是简单地端口控制器（它可以识别或者屏蔽或支持基于与IP端口号的流量）；端口号会告诉你，这些流量是来自网络浏览还是电子邮件。

今天的技术包括状态防火墙，可以跟踪网络连接，例如TCP或UDP。换言之，一个状态防火墙可连续分析每一个包，且不是孤立的。

入侵检测和防护技术，让系统可以检查每个包中是否含有恶意软件。代理服务器还被设置在网络服务器的前端，他们可以减低负载也可以作为过滤器，屏蔽恶意软件的攻击。

然而，每一项技术都需要一个单独的操作台，每个都需要进行安装，使用电源和进行管理，所以增加了操作支出。

"防火墙的作用并不大，因为他们除了管理端口外能做到的事情不多。在过去的7年中，防火墙一直没有改进多少，因此用户投资再多的钱在防火墙上也是无用。"Zuk说。

安全厂商赛门铁克的Tony Osborn不同意这一观点，他说，在防御攻击方面防火期的一线防护作用仍很重要。而防火墙覆盖的范围"已经被重新确定，扩大到雇员和企业的用户范围。"最后的结果是，企业需要把他们的安全嵌入到企业政策之中，他说。

防火墙的问题只是很多问题中的一部分，Zuk说。"安全行业是建立在这样的一个公理上的，那就是安全厂商必须要解决非常具体的问题，每个具体的问题都要用最好的技术来解决。"他说。但是，Zuk说，企业应该期待的是更加全面的安全技术。

安全分析和研究人员Jan Guldentops赞同Zuk的观点，防火墙不能全面地保护银行的安全。但是他说，更好的防火墙技术是可以解决这些问题的。

"他是对的但他也是错的。"Guldentops说，"你不能再通过端口来识别流量，因此你需要应用程序的报告来查看连接和知晓发生了什么。"

"那么问题就转移到了边界安全方面。从来就没有什么网络边界，不法分子也从来都不在所谓的外面世界，他们是与你信任的人混在一起的。所以你才会遇到数据泄漏的事情，这就构成了看起来合法的流量。"

Guldentops表示，这个过程需要更高一层的水平。"我们从过滤端口开始，然后又使用状态检测防火墙，随后我们增加了入侵检测系统，现在我们需要应用程序报告。下个级别意味着你需要一个更智能的防火墙。"他说。