下一代防火墻：一、了解網(wǎng)絡(luò)安全的演進

　　在互聯(lián)網(wǎng)發(fā)展的早期，就像殺毒軟件一直是個人電腦安全的基石，防火墻一直是網(wǎng)絡(luò)安全的基石。

　　如今的應(yīng)用和威脅環(huán)境使得傳統(tǒng)的基于端口的防火墻，在保護企業(yè)網(wǎng)絡(luò)和敏感數(shù)據(jù)方面形同虛設(shè)。應(yīng)用通過渠道的一切流量–我們商業(yè)和生活的載體–也伴隨著相關(guān)的利益和風(fēng)險。這些風(fēng)險包括新出現(xiàn)的威脅、數(shù)據(jù)泄漏以及違規(guī)問題。

　　本部分介紹傳統(tǒng)的防火墻是如何運行的，他們?yōu)槭裁床荒軡M足今天的應(yīng)用和挑戰(zhàn)，如何從數(shù)據(jù)泄漏和遵從法規(guī)來定義網(wǎng)絡(luò)安全和更好的防火墻。

　　傳統(tǒng)的防火墻為什么已經(jīng)不再有效

　　防火墻 -- 在最基本的層面上-- 控制信任網(wǎng)絡(luò)(例如企業(yè)局域網(wǎng))與不信任或公共網(wǎng)絡(luò)(如因特網(wǎng))之間的流量。今天最常見的防火墻是基于端口(或數(shù)據(jù)包過濾)的防火墻，以及這種基本類型的變種(如狀態(tài)檢查)。這些防火墻很受歡迎，因為它們操作和維護比較簡單，價格也比較便宜，具有良好的吞吐量，這種流行的設(shè)計已經(jīng)超過了二十年。

　　因特網(wǎng)的時代發(fā)展非常迅速，二十年意味著基于端口的防火墻技術(shù)是中世紀(jì)的。事實上，網(wǎng)絡(luò)安全往往比喻為“黑暗時代 “-- 一個網(wǎng)絡(luò)的邊界類似于一個城堡的城墻，用防火墻進行訪問控制-- 就像使用一座吊橋，用吊橋的升起或放下來控制人們的進出?；诙丝诘姆阑饓χ挥袃煞N選擇來控制網(wǎng)絡(luò)流量：允許或禁止。

　　基于端口的防火墻(以及它們的變體)使用源/目的IP地址和TCP/ UDP的端口信息，來決定是否允許數(shù)據(jù)包在網(wǎng)絡(luò)或網(wǎng)絡(luò)段之間通過。該防火墻檢查IP數(shù)據(jù)包中TCP報頭的前幾個字節(jié)，來確定應(yīng)用的協(xié)議-- 例如，簡單郵件傳輸協(xié)議(SMTP端口號：25)和超文本傳輸協(xié)議(HTTP端口號：80)。

　　大多數(shù)防火墻都配置成：允許所有流量從可信網(wǎng)絡(luò)到不可信網(wǎng)絡(luò)的傳送，除非它被明確的規(guī)則阻止。例如，簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)可能被明確阻斷，以防止某些網(wǎng)絡(luò)信息被無意傳送到因特網(wǎng)。這將通過阻斷UDP端口號：161和162來實現(xiàn)，而不管源或目的IP地址。

　　實現(xiàn)靜態(tài)端口的控制是比較容易的。狀態(tài)檢查防火墻解決了動態(tài)應(yīng)用使用一個以上已知定義端口(如FTP端口號：20和21)的問題。當(dāng)可信網(wǎng)絡(luò)上的計算機或服務(wù)器發(fā)起一個與不可信網(wǎng)絡(luò)上的計算機或服務(wù)器的會話時，需要建立一個連接。在狀態(tài)數(shù)據(jù)包檢查防火墻上，動態(tài)規(guī)則允許臨時接收對不可信網(wǎng)絡(luò)上計算機或服務(wù)器的響應(yīng)或答復(fù)。否則，返回流量需要被明確禁止，或者需要在防火墻上手動創(chuàng)建訪問規(guī)則(這通常是不實際的)。

　　只要每個人都按規(guī)則辦事，所有這一切都可以良好地運行。不幸的是，規(guī)則更像是一種使用指南，不是每個人都能按照規(guī)則使用因特網(wǎng)!

　　現(xiàn)在的因特網(wǎng)占用了多數(shù)的企業(yè)網(wǎng)流量，而且它不僅僅是網(wǎng)上沖浪。因特網(wǎng)已經(jīng)催生了新一代應(yīng)用，可由網(wǎng)絡(luò)用戶進行訪問，即可以是個人訪問也可以是業(yè)務(wù)訪問。這些應(yīng)用有助于提高用戶的業(yè)務(wù)效率，同時這些應(yīng)用也占用大量帶寬，帶來不必要的安全風(fēng)險，并增加了業(yè)務(wù)責(zé)任--例如，數(shù)據(jù)泄漏和法規(guī)遵從-- 這兩個問題會在后面的部分討論。而且，這些應(yīng)用加入了“無障礙”技術(shù)，如使用非標(biāo)準(zhǔn)端口，跳端口和隧道，以躲避傳統(tǒng)的基于端口的防火墻。

　　信息技術(shù)(IT)部門已經(jīng)嘗試通過代理服務(wù)器、入侵防御系統(tǒng)、統(tǒng)一資源定位器(URL)過濾和其他昂貴的設(shè)備，彌補傳統(tǒng)防火墻的缺陷，但在當(dāng)今的應(yīng)用和威脅環(huán)境中，所有這些措施都同樣無效。

　　數(shù)據(jù)泄漏是個問題

　　規(guī)模厐大、敏感或私人數(shù)據(jù)的公共曝光非常常見。意外和故意泄露數(shù)據(jù)的例子不勝枚舉，定期噩夢般的頭條新聞還會繼續(xù)，一家大型零售商暴露了數(shù)以萬計的信用卡號碼，政府機構(gòu)、醫(yī)療保健機構(gòu)或用人單位泄露了眾多的社會保險號碼。例如，在2008年12月，一個配置不當(dāng)，禁止對等(P2P)的文件共享了應(yīng)用，把24000美軍士兵的個人信息暴露給公共域的數(shù)據(jù)庫。不幸的是，這些事件并不是孤立的：美軍沃爾特·里德醫(yī)療中心-- 一個美國政府的承包商，為海軍陸戰(zhàn)隊一號和輝瑞公司工作時，泄露了所有早期高層人士的資料。在所有這些案例中，敏感數(shù)據(jù)通過應(yīng)用泄露，這是政策明令禁止的，但沒有用技術(shù)強制執(zhí)行。

　　數(shù)據(jù)泄露防護(DLP)技術(shù)正被吹捧為靈丹妙藥，獲得了許多IT部門的關(guān)注。不幸的是，由于很多企業(yè)的數(shù)據(jù)集范圍廣、規(guī)模大而且分散，數(shù)據(jù)在哪兒、誰擁有是一個難以逾越的挑戰(zhàn)。還有很多問題隨之而來，如訪問控制、報告、數(shù)據(jù)分類、數(shù)據(jù)靜止與數(shù)據(jù)在途、臺式機和服務(wù)器代理與加密等，比比皆是。其結(jié)果是，企業(yè)內(nèi)的許多DLP舉措進展緩慢，并半途而廢。

　　許多的數(shù)據(jù)丟失防護解決方案，試圖把太多的信息安全功能(甚至包括存儲管理的元素)合并到一個已經(jīng)臃腫的產(chǎn)品中。不用說，這種范圍擴大增加了復(fù)雜性、時間以及費用-- 無論是硬成本還是員工時間。因此，DLP技術(shù)往往是繁瑣和不完整(主要關(guān)注在Web和電子郵件上)，對許多企業(yè)來說是大材小用. . . 更何況還很貴!

　　此外，最近許多的泄露由未授權(quán)造成，不正確配置的P2P文件共享應(yīng)用也不能用今天市場上的DLP技術(shù)實現(xiàn)保護-- 因為應(yīng)用控制沒有解決這個問題。

　　一些企業(yè)不得不實施大規(guī)模的DLP措施-- 其中包括：數(shù)據(jù)發(fā)現(xiàn)、分類和編目。但對于大多數(shù)企業(yè)，控制最容易泄露敏感數(shù)據(jù)的應(yīng)用，停止未經(jīng)授權(quán)私人或敏感數(shù)據(jù)的傳輸，如信用卡和社會保險號，是必須的。在信任邊界(網(wǎng)絡(luò)邊界)施加控制是理想的–無論數(shù)據(jù)中心的分界點是在內(nèi)部和外部之間，還是在內(nèi)部用戶和內(nèi)部資源之間。防火墻應(yīng)該坐落在一個完美的位置，可以看到所有的流量穿過不同的網(wǎng)絡(luò)和網(wǎng)段。不幸的是，傳統(tǒng)基于端口和基于協(xié)議的防火墻不能做任何事–因為它們對應(yīng)用、用戶和內(nèi)容都無知。

　　為了使防火墻方案有效地解決數(shù)據(jù)泄露問題，企業(yè)應(yīng)該：

　　?在網(wǎng)絡(luò)上能夠?qū)?yīng)用控制 -- 從而限制了數(shù)據(jù)泄漏的途徑;

　　?對在網(wǎng)絡(luò)上使用的應(yīng)用，掃描敏感或私人數(shù)據(jù);

　　?了解哪些用戶啟動了這些應(yīng)用，為什么;

　　?實施適當(dāng)?shù)目刂撇呗院图夹g(shù)，防止意外或故意泄露數(shù)據(jù)。

　　如果企業(yè)能夠在周邊控制敏感或私人數(shù)據(jù)的流動，很多數(shù)據(jù)丟失事件是可以避免的。不幸的是，傳統(tǒng)的安全基礎(chǔ)架構(gòu)使用傳統(tǒng)的防火墻，是無法提供這種功能的。

　　合規(guī)不是選項

　　在世界各地，有超過400種法規(guī)強制要求信息安全和數(shù)據(jù)保護，企業(yè)都在竭盡全力確保合規(guī)。這些法規(guī)的例子包括：美國的健康保險流通與責(zé)任法(HIPAA)、聯(lián)邦信息安全管理法(FISMA)、聯(lián)邦金融業(yè)監(jiān)管法(FINRA)和歐洲的歐盟數(shù)據(jù)保護法(DPA)。

　　具有諷刺意味的是，今天最深遠、最有效、最有名的合規(guī)要求，不是由政府來監(jiān)管。支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)由主要支付卡品牌(美國運通、萬事達、維薩和其他)所創(chuàng)建，防止身份盜竊和欺詐用卡來保護公司、銀行和消費者。隨著經(jīng)濟越來越依賴支付卡交易，持卡人丟失數(shù)據(jù)的風(fēng)險只會增加，所以努力保護數(shù)據(jù)非常關(guān)鍵-- 無論是合規(guī)還是其他原因所驅(qū)動。

　　PCI DSS可以適用于任何傳輸、處理或商店支付卡(例如信用卡或借記卡)業(yè)務(wù)，不管處理事務(wù)的數(shù)量。

　　不合規(guī)的公司會受到嚴厲的處罰，輕微違法會有每月高達25000美元的罰款，導(dǎo)致財務(wù)數(shù)據(jù)丟失或被盜以及卡處理授權(quán)丟失(幾乎使業(yè)務(wù)不能操作)，最高違規(guī)罰款可達50萬美元。

　　盡管合規(guī)要求完全基于信息安全的最佳實踐，但是要記住，安全和合規(guī)不是同一件事情。無論業(yè)務(wù)是否是兼容PCI，數(shù)據(jù)泄露的代價可能是非常昂貴的。根據(jù)弗羅斯特(Forrester)公司的研究，每一個違反記錄的成本(包括罰款、清理、丟失機會和其他費用)，價格從90美元(不知名、非管制公司)到305美元(知名、高監(jiān)管公司)。

　　安全和合規(guī)是相關(guān)的，但它們不是一回事!

　　PCI DSS1.2版包括了12項通用要求和超過200項特定要求。關(guān)于12項通用要求，下面給出了針對防火墻和防火墻相關(guān)的要求：

　　?要求1：安裝并維護防火墻配置以保護持卡人數(shù)據(jù)。

　　?要求5：使用并定期更新殺毒軟件或程序。

　　?要求6：開發(fā)并維護安全系統(tǒng)和應(yīng)用。

　　?要求7：按業(yè)務(wù)需求限制對持卡人數(shù)據(jù)的訪問。

　　?要求10：跟蹤和監(jiān)視所有對網(wǎng)絡(luò)資源和持卡人數(shù)據(jù)的訪問。

　　?附錄F：使用網(wǎng)絡(luò)分段，減小PCI DSS的范圍，一個實體必須隔離系統(tǒng)的存儲、處理或者從網(wǎng)絡(luò)其他部分傳輸持卡人數(shù)據(jù)。