传统防火墙只能阻挡或容许特定IP地址和端口,能防护的东西恰当有限。最常见的运用场景便是阻挡未授权用户或歹意软件联接未受维护的监听服务或照顾进程。即便忽视路由器在IP/端口过滤上的超高功率,年代和侵略类型也发生了改动,传统防火墙现在很大程度上形同虚设。

假定你的防火墙仅仅用于封禁未授权IP地址或协议,那用个路由器会好得多,也快得多。计算机安全界有句格言:“首选最快最简略的办法。”说的便是这个道理,假定有什么东西是能够用更快更有功率的设备加以封堵的,那就将那台设备用作你的第一道防地。这样会更快更有功率地摒除更多你不想要的流量。路由器的“上层”代码要比防火墙少许多,规矩列表也更短。路由器的条件选择计划循环比防火墙快上几个数量级。不过,现在的挟制环境下,还需不需求封禁这些未授权联接,这一点难说。
现在的服务并没有那么软弱。程序员现在运用的编程言语默许就会查看缓冲区溢出。用来阻挡传统缝隙运用办法的其他操作系统计算机安全措施也很拿手做这事儿。微软每年都能在其产品线上发现130-150个缝隙。自2003年算起,发现的缝隙数约2000个。但只需5-10个是仅供长途运用的。同一时期,苹果和Linux机器的缝隙更多,但仅可长途运用的缝隙进程占比是相同的。
端口堵塞不再有用
今日,全世界的网络流量大部分都走80(HTTP)和443(HTTPS)端口,并且只用后者的状况会越来越多。那些尚未走443端口的网络流量在未来几年里也会切到443上的。假定什么都绑定在少数几个端口上,那端口堵塞还有什么含义?不止如此,HTTPS默许加密的特性也会让流量过滤更难以实施。
防火墙是典型的安全域间隔。定义出两三个安全间隔就能够用防火墙操控其间的流量。但是,这些有用的、可保安全的间隔,这10年来一向在式微。间隔历来都不完美,但自从咱们开始将互联网接入其他网络,开始将WiFi路由器接入各种网络,间隔就真实步入消亡了。
长期以来,许多IT安全人员都以为咱们还具有安全间隔,但只需一审计,就会发现这些间隔根本就漏得跟筛子相同。由于怕破坏了某些要害服务或运用,网络处理员基本上都会放行每个未定义的流量途径。
除了虚伪的间隔安全感,大多数防火墙还处理糟糕。简直悉数家庭用户都不知道防火墙是什么、有什么用,即便自家电脑上默许翻开了防火墙,他们也从未重视或装备过。企业端的状况也不见得好到哪儿去,尽管企业安全人员有时分会掩耳盗铃地觉得自己做得还好。
糟糕的日志也是传统防火墙痛点之一。绝大多数防火墙日志都包括百万条作业记载,尽管记载翔实精确,但对真实的安全防护来说毫无用处。防火墙的“噪音”真实太大,处理员应该留神的潜在有用作业反而被淹没了。
智能防火墙怎样样?
IP地址和端口过滤这种传统防火墙操作现已没有太大价值,但今日的大多数防火墙所做的远不止这些。防火墙现已从严峻的间隔防地,进化到了内部软弱中心的防护层。假定仔细观察现在的防火墙所供给的各种服务,你会发现用于客户端防护的和用于网络防护的简直相同多。这是件好事儿,广受欢迎,且好处多多。