[SOPHOS] 防火墙面对的问题：必须处理比过去更进阶、更具躲避能力和有针对性的现代网路威胁。

防火墙上正在发生一个与过去截然不同的发展。

随著威胁环境的转变、系统管理员必须处理的技术数量和复杂性急剧增加，以及资料流被淹没在杂讯之中，这导致了使我们的安全处于危险之中的严峻情况：

「当我担任这个职务时，我很快就注意到我们的终端和网路缺乏可见度。如果有用户的系统受到感染，我们完全无法察觉……」
─ 位于美国麻州的某医疗技术公司 IT 总监

他并不是唯一有这个顾虑的人，最近一项针对 IT 管理员的调查发现，目前大多数使用中的防火墙：

• 迫使系统管理员必须花费过多时间来找出他们所需的信息。
• 无法提供足够信息反映网络上的威胁和风险。
• 非常困难才能弄清楚如何使用所有的功能。

若要解决这种情形，我们必须采取一种全新的网路安全作法，一种可以使安全系统协同作业的方法。这种作法不尽可以简化工作流程，还能从大量资料中揪出哪些讯息才是重要的。

为什么防火墙变得越来越好的同时会越糟

一开始，防火墙为主机、连接埠和通讯协定提供了基本的网路封包筛选和路由功能。它们强化了一个网路和其他地方之间的界限，并在这个网路内不断巡守。

这些防火墙在限制只将服务提供有需要的电脑和网路方面是有效的，减少了骇客和外部恶意软体可以利用的受攻击面。

当然，攻击者不会就此罢手，因此攻击开始入侵防火墙无法保护的服务：攻击应用程式和伺服器的弱点，或利用社交工程透过电子邮件或受感染的网站在网路内部建立据点。

防火墙技术也持续发展，将 OSI 堆叠提升到Layer 7，藉以根据来源使用者或应用程式识别和控制流量，而深度检测技术可以在应用程式流量的内容中寻找威胁。

这种从连接埠和通讯协定转向应用程式和使用者的改变催生出一种新的网路保护类型，即所谓的「新一代」(next-generation) 防火墙，其功能包括深度检测加密和未加密流量的封包、入侵防御、应用程式感知和以使用者为基础的政策，以及传统的状态式检查技术。

因此，现代防火墙产品越来越难操作和管理，通常必须使用个别和整合不良的解决方案来解决不同的威胁和合规性要求。

系统整合不良会导致系统管理员出现盲点：

「…我们的程式其实是拚拼凑凑的。我们有一个防毒程式。还有一个不同的防火墙供应商……你不知道怎么把所有的东西结合在一起。」
─ 美国怀俄明州校区技术协调员

这些系统产生的资料量非常庞大，超越一般网路管理员所能负担的程度。

应该如何改进防火墙

网路安全需要一个更具突破性的方法来整合复杂的技术，并且需要一个全新品种的防火墙：一个从一开始就专为现有防火墙的问题而开发，并且提供一个专为因应不断演变的威胁和网路态势所设计的平台。

这种新型的防火墙必须处理比过去更进阶、更具躲避能力和有针对性的现代网路威胁。这些进阶型持续威胁 (APT) 使用的技术可以让每个执行个体都是全新的零时差威胁，这对以特徵码为主的恶意软体侦测而言是一项严峻的挑战。

现代防火墙必须：

1. 可以识别恶意行为，对高风险使用者和高风险行为、不良应用程式、可疑的装载和持续性威胁提供前所未有的可见度。
2. 可与其他安全系统 (如端点解决方案) 一起运作，以快速、高效率地侦测、识别和回应进阶型威胁。
3. 使用动态应用程式控制技术，可以正确识别和管理特徵码型引擎无法发现的未知应用程式。
4. 整合一整套的威胁防护技术，让网路管理员能够一目了然地设定和维护安全状态。

防火墙必须重夺作为可信任的网路执法者的岗位，阻挡和遏止威胁，并防范未经授权的资料外泄。

请下载SOPHOS的防火墙购买指南以取得有用的信息，协助您在采购下一个防火墙时做出明智的决定。

 

英文原文:  https://news.sophos.com/en-us/2017/12/08/the-problem-with-firewalls/

(本博文为翻译本，内容以英文原文为准)