下一代防火墻：一、了解網(wǎng)絡(luò)安全的演進(jìn)

　　在互聯(lián)網(wǎng)發(fā)展的早期，就像殺毒軟件一直是個(gè)人電腦安全的基石，防火墻一直是網(wǎng)絡(luò)安全的基石。

　　如今的應(yīng)用和威脅環(huán)境使得傳統(tǒng)的基于端口的防火墻，在保護(hù)企業(yè)網(wǎng)絡(luò)和敏感數(shù)據(jù)方面形同虛設(shè)。應(yīng)用通過(guò)渠道的一切流量–我們商業(yè)和生活的載體–也伴隨著相關(guān)的利益和風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)包括新出現(xiàn)的威脅、數(shù)據(jù)泄漏以及違規(guī)問(wèn)題。

　　本部分介紹傳統(tǒng)的防火墻是如何運(yùn)行的，他們?yōu)槭裁床荒軡M足今天的應(yīng)用和挑戰(zhàn)，如何從數(shù)據(jù)泄漏和遵從法規(guī)來(lái)定義網(wǎng)絡(luò)安全和更好的防火墻。

　　傳統(tǒng)的防火墻為什么已經(jīng)不再有效

　　防火墻 -- 在最基本的層面上-- 控制信任網(wǎng)絡(luò)(例如企業(yè)局域網(wǎng))與不信任或公共網(wǎng)絡(luò)(如因特網(wǎng))之間的流量。今天最常見(jiàn)的防火墻是基于端口(或數(shù)據(jù)包過(guò)濾)的防火墻，以及這種基本類型的變種(如狀態(tài)檢查)。這些防火墻很受歡迎，因?yàn)樗鼈儾僮骱途S護(hù)比較簡(jiǎn)單，價(jià)格也比較便宜，具有良好的吞吐量，這種流行的設(shè)計(jì)已經(jīng)超過(guò)了二十年。

　　因特網(wǎng)的時(shí)代發(fā)展非常迅速，二十年意味著基于端口的防火墻技術(shù)是中世紀(jì)的。事實(shí)上，網(wǎng)絡(luò)安全往往比喻為“黑暗時(shí)代 “-- 一個(gè)網(wǎng)絡(luò)的邊界類似于一個(gè)城堡的城墻，用防火墻進(jìn)行訪問(wèn)控制-- 就像使用一座吊橋，用吊橋的升起或放下來(lái)控制人們的進(jìn)出。基于端口的防火墻只有兩種選擇來(lái)控制網(wǎng)絡(luò)流量：允許或禁止。

　　基于端口的防火墻(以及它們的變體)使用源/目的IP地址和TCP/ UDP的端口信息，來(lái)決定是否允許數(shù)據(jù)包在網(wǎng)絡(luò)或網(wǎng)絡(luò)段之間通過(guò)。該防火墻檢查IP數(shù)據(jù)包中TCP報(bào)頭的前幾個(gè)字節(jié)，來(lái)確定應(yīng)用的協(xié)議-- 例如，簡(jiǎn)單郵件傳輸協(xié)議(SMTP端口號(hào)：25)和超文本傳輸協(xié)議(HTTP端口號(hào)：80)。

　　大多數(shù)防火墻都配置成：允許所有流量從可信網(wǎng)絡(luò)到不可信網(wǎng)絡(luò)的傳送，除非它被明確的規(guī)則阻止。例如，簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)可能被明確阻斷，以防止某些網(wǎng)絡(luò)信息被無(wú)意傳送到因特網(wǎng)。這將通過(guò)阻斷UDP端口號(hào)：161和162來(lái)實(shí)現(xiàn)，而不管源或目的IP地址。

　　實(shí)現(xiàn)靜態(tài)端口的控制是比較容易的。狀態(tài)檢查防火墻解決了動(dòng)態(tài)應(yīng)用使用一個(gè)以上已知定義端口(如FTP端口號(hào)：20和21)的問(wèn)題。當(dāng)可信網(wǎng)絡(luò)上的計(jì)算機(jī)或服務(wù)器發(fā)起一個(gè)與不可信網(wǎng)絡(luò)上的計(jì)算機(jī)或服務(wù)器的會(huì)話時(shí)，需要建立一個(gè)連接。在狀態(tài)數(shù)據(jù)包檢查防火墻上，動(dòng)態(tài)規(guī)則允許臨時(shí)接收對(duì)不可信網(wǎng)絡(luò)上計(jì)算機(jī)或服務(wù)器的響應(yīng)或答復(fù)。否則，返回流量需要被明確禁止，或者需要在防火墻上手動(dòng)創(chuàng)建訪問(wèn)規(guī)則(這通常是不實(shí)際的)。

　　只要每個(gè)人都按規(guī)則辦事，所有這一切都可以良好地運(yùn)行。不幸的是，規(guī)則更像是一種使用指南，不是每個(gè)人都能按照規(guī)則使用因特網(wǎng)!

　　現(xiàn)在的因特網(wǎng)占用了多數(shù)的企業(yè)網(wǎng)流量，而且它不僅僅是網(wǎng)上沖浪。因特網(wǎng)已經(jīng)催生了新一代應(yīng)用，可由網(wǎng)絡(luò)用戶進(jìn)行訪問(wèn)，即可以是個(gè)人訪問(wèn)也可以是業(yè)務(wù)訪問(wèn)。這些應(yīng)用有助于提高用戶的業(yè)務(wù)效率，同時(shí)這些應(yīng)用也占用大量帶寬，帶來(lái)不必要的安全風(fēng)險(xiǎn)，并增加了業(yè)務(wù)責(zé)任--例如，數(shù)據(jù)泄漏和法規(guī)遵從-- 這兩個(gè)問(wèn)題會(huì)在后面的部分討論。而且，這些應(yīng)用加入了“無(wú)障礙”技術(shù)，如使用非標(biāo)準(zhǔn)端口，跳端口和隧道，以躲避傳統(tǒng)的基于端口的防火墻。

　　信息技術(shù)(IT)部門已經(jīng)嘗試通過(guò)代理服務(wù)器、入侵防御系統(tǒng)、統(tǒng)一資源定位器(URL)過(guò)濾和其他昂貴的設(shè)備，彌補(bǔ)傳統(tǒng)防火墻的缺陷，但在當(dāng)今的應(yīng)用和威脅環(huán)境中，所有這些措施都同樣無(wú)效。

　　數(shù)據(jù)泄漏是個(gè)問(wèn)題

　　規(guī)模厐大、敏感或私人數(shù)據(jù)的公共曝光非常常見(jiàn)。意外和故意泄露數(shù)據(jù)的例子不勝枚舉，定期噩夢(mèng)般的頭條新聞還會(huì)繼續(xù)，一家大型零售商暴露了數(shù)以萬(wàn)計(jì)的信用卡號(hào)碼，政府機(jī)構(gòu)、醫(yī)療保健機(jī)構(gòu)或用人單位泄露了眾多的社會(huì)保險(xiǎn)號(hào)碼。例如，在2008年12月，一個(gè)配置不當(dāng)，禁止對(duì)等(P2P)的文件共享了應(yīng)用，把24000美軍士兵的個(gè)人信息暴露給公共域的數(shù)據(jù)庫(kù)。不幸的是，這些事件并不是孤立的：美軍沃爾特·里德醫(yī)療中心-- 一個(gè)美國(guó)政府的承包商，為海軍陸戰(zhàn)隊(duì)一號(hào)和輝瑞公司工作時(shí)，泄露了所有早期高層人士的資料。在所有這些案例中，敏感數(shù)據(jù)通過(guò)應(yīng)用泄露，這是政策明令禁止的，但沒(méi)有用技術(shù)強(qiáng)制執(zhí)行。

　　數(shù)據(jù)泄露防護(hù)(DLP)技術(shù)正被吹捧為靈丹妙藥，獲得了許多IT部門的關(guān)注。不幸的是，由于很多企業(yè)的數(shù)據(jù)集范圍廣、規(guī)模大而且分散，數(shù)據(jù)在哪兒、誰(shuí)擁有是一個(gè)難以逾越的挑戰(zhàn)。還有很多問(wèn)題隨之而來(lái)，如訪問(wèn)控制、報(bào)告、數(shù)據(jù)分類、數(shù)據(jù)靜止與數(shù)據(jù)在途、臺(tái)式機(jī)和服務(wù)器代理與加密等，比比皆是。其結(jié)果是，企業(yè)內(nèi)的許多DLP舉措進(jìn)展緩慢，并半途而廢。

　　許多的數(shù)據(jù)丟失防護(hù)解決方案，試圖把太多的信息安全功能(甚至包括存儲(chǔ)管理的元素)合并到一個(gè)已經(jīng)臃腫的產(chǎn)品中。不用說(shuō)，這種范圍擴(kuò)大增加了復(fù)雜性、時(shí)間以及費(fèi)用-- 無(wú)論是硬成本還是員工時(shí)間。因此，DLP技術(shù)往往是繁瑣和不完整(主要關(guān)注在Web和電子郵件上)，對(duì)許多企業(yè)來(lái)說(shuō)是大材小用. . . 更何況還很貴!

　　此外，最近許多的泄露由未授權(quán)造成，不正確配置的P2P文件共享應(yīng)用也不能用今天市場(chǎng)上的DLP技術(shù)實(shí)現(xiàn)保護(hù)-- 因?yàn)閼?yīng)用控制沒(méi)有解決這個(gè)問(wèn)題。

　　一些企業(yè)不得不實(shí)施大規(guī)模的DLP措施-- 其中包括：數(shù)據(jù)發(fā)現(xiàn)、分類和編目。但對(duì)于大多數(shù)企業(yè)，控制最容易泄露敏感數(shù)據(jù)的應(yīng)用，停止未經(jīng)授權(quán)私人或敏感數(shù)據(jù)的傳輸，如信用卡和社會(huì)保險(xiǎn)號(hào)，是必須的。在信任邊界(網(wǎng)絡(luò)邊界)施加控制是理想的–無(wú)論數(shù)據(jù)中心的分界點(diǎn)是在內(nèi)部和外部之間，還是在內(nèi)部用戶和內(nèi)部資源之間。防火墻應(yīng)該坐落在一個(gè)完美的位置，可以看到所有的流量穿過(guò)不同的網(wǎng)絡(luò)和網(wǎng)段。不幸的是，傳統(tǒng)基于端口和基于協(xié)議的防火墻不能做任何事–因?yàn)樗鼈儗?duì)應(yīng)用、用戶和內(nèi)容都無(wú)知。

　　為了使防火墻方案有效地解決數(shù)據(jù)泄露問(wèn)題，企業(yè)應(yīng)該：

　　?在網(wǎng)絡(luò)上能夠?qū)?yīng)用控制 -- 從而限制了數(shù)據(jù)泄漏的途徑;

　　?對(duì)在網(wǎng)絡(luò)上使用的應(yīng)用，掃描敏感或私人數(shù)據(jù);

　　?了解哪些用戶啟動(dòng)了這些應(yīng)用，為什么;

　　?實(shí)施適當(dāng)?shù)目刂撇呗院图夹g(shù)，防止意外或故意泄露數(shù)據(jù)。

　　如果企業(yè)能夠在周邊控制敏感或私人數(shù)據(jù)的流動(dòng)，很多數(shù)據(jù)丟失事件是可以避免的。不幸的是，傳統(tǒng)的安全基礎(chǔ)架構(gòu)使用傳統(tǒng)的防火墻，是無(wú)法提供這種功能的。

　　合規(guī)不是選項(xiàng)

　　在世界各地，有超過(guò)400種法規(guī)強(qiáng)制要求信息安全和數(shù)據(jù)保護(hù)，企業(yè)都在竭盡全力確保合規(guī)。這些法規(guī)的例子包括：美國(guó)的健康保險(xiǎn)流通與責(zé)任法(HIPAA)、聯(lián)邦信息安全管理法(FISMA)、聯(lián)邦金融業(yè)監(jiān)管法(FINRA)和歐洲的歐盟數(shù)據(jù)保護(hù)法(DPA)。

　　具有諷刺意味的是，今天最深遠(yuǎn)、最有效、最有名的合規(guī)要求，不是由政府來(lái)監(jiān)管。支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)由主要支付卡品牌(美國(guó)運(yùn)通、萬(wàn)事達(dá)、維薩和其他)所創(chuàng)建，防止身份盜竊和欺詐用卡來(lái)保護(hù)公司、銀行和消費(fèi)者。隨著經(jīng)濟(jì)越來(lái)越依賴支付卡交易，持卡人丟失數(shù)據(jù)的風(fēng)險(xiǎn)只會(huì)增加，所以努力保護(hù)數(shù)據(jù)非常關(guān)鍵-- 無(wú)論是合規(guī)還是其他原因所驅(qū)動(dòng)。

　　PCI DSS可以適用于任何傳輸、處理或商店支付卡(例如信用卡或借記卡)業(yè)務(wù)，不管處理事務(wù)的數(shù)量。

　　不合規(guī)的公司會(huì)受到嚴(yán)厲的處罰，輕微違法會(huì)有每月高達(dá)25000美元的罰款，導(dǎo)致財(cái)務(wù)數(shù)據(jù)丟失或被盜以及卡處理授權(quán)丟失(幾乎使業(yè)務(wù)不能操作)，最高違規(guī)罰款可達(dá)50萬(wàn)美元。

　　盡管合規(guī)要求完全基于信息安全的最佳實(shí)踐，但是要記住，安全和合規(guī)不是同一件事情。無(wú)論業(yè)務(wù)是否是兼容PCI，數(shù)據(jù)泄露的代價(jià)可能是非常昂貴的。根據(jù)弗羅斯特(Forrester)公司的研究，每一個(gè)違反記錄的成本(包括罰款、清理、丟失機(jī)會(huì)和其他費(fèi)用)，價(jià)格從90美元(不知名、非管制公司)到305美元(知名、高監(jiān)管公司)。

　　安全和合規(guī)是相關(guān)的，但它們不是一回事!

　　PCI DSS1.2版包括了12項(xiàng)通用要求和超過(guò)200項(xiàng)特定要求。關(guān)于12項(xiàng)通用要求，下面給出了針對(duì)防火墻和防火墻相關(guān)的要求：

　　?要求1：安裝并維護(hù)防火墻配置以保護(hù)持卡人數(shù)據(jù)。

　　?要求5：使用并定期更新殺毒軟件或程序。

　　?要求6：開(kāi)發(fā)并維護(hù)安全系統(tǒng)和應(yīng)用。

　　?要求7：按業(yè)務(wù)需求限制對(duì)持卡人數(shù)據(jù)的訪問(wèn)。

　　?要求10：跟蹤和監(jiān)視所有對(duì)網(wǎng)絡(luò)資源和持卡人數(shù)據(jù)的訪問(wèn)。

　　?附錄F：使用網(wǎng)絡(luò)分段，減小PCI DSS的范圍，一個(gè)實(shí)體必須隔離系統(tǒng)的存儲(chǔ)、處理或者從網(wǎng)絡(luò)其他部分傳輸持卡人數(shù)據(jù)。