近來，各大廠商的網站競相出現安全問題。比如WordPress.com遭遇大規模DDoS攻擊，MySQL.com和Sun.com遭到攻擊等等。前兩日更爆出7天酒店數據庫被盜，黑客網上叫賣會員信息的新聞，看來企業的安全問題真的是不容小覷……

不過話說回來，相信有一定規模的企業，都會進行安全部署，在安全產品方面的投資肯定也不會少，但是，用上了安全產品就真的安全了么？這個問題的答案也只能用maybe來回答。

近日國外媒體報道，來自獨立測試機構NSS Labs的最新研究表明，六分之五的常用防火墻無法阻止企業遭受常見的攻擊，例如TCP/IP協議入侵。

NSS Labs在今年初承擔了一項針對主要防火墻的研究，發現除了Check Point的產品之外，所有的被測系統都無法保持其穩定性，也不能對TCP握手泛洪攻擊進行處理。TCP/IP攻擊等同于IP泛洪。

未通過測試的防火墻產品包括思科的ASA5585，Fortinet公司的Fortigate 3950B，Juniper的SRX 5800，Palo Alto的PA-4020和Sonicwall的E8500。其中一半產品的系統容易崩潰，六分之五的產品無法檢測TCP握手攻擊。

此次測試中的發現非常重要，因為防火墻是企業網絡安全的第一道防線。NSS在首次發現漏洞時曾經聯系廠商進行修復，但沒有響應。因此，NSS決定公布測試結果。

51CTO編者按：參加本次NSS Labs防火墻測試的廠家有六個：Check Point、思科、Fortinet、Juniper、Palo Alto和Sonicwall，其中分別對上述6個公司的某單一產品進行了測試，其中5家產品都出現了安全漏洞，可見安全產品并非覺絕對安全……

雖然其中5家的產品出現了問題，但是并不能說明剩下的1家產品是絕對安全的，也不能說另外5家其他產品是有問題。安全總是相對來看的，在平時沒有出現問題的時候，我們很難評估這些安全效果，只有在出現某些安全事件的時候，才能看出這些產品是否有效果。所以，我們要客觀的來看待安全問題。

其實，在企業部署安全策略的時候，不能光依賴于產品的使用，企業安全更是包含了多種多樣的問題，不單是安全產品的使用，也要有一個整體的安全規劃，一個嚴格的安全制度以及一個完善的人員管理規范。這樣才能建立一個立體的安全系統，即便其中單一環節出現問題，也能從其他環節上進行一個應急的措施，將損失降到最低。在上期企業安全運維的技術沙龍中，我們也討論了不少這方面的問題，感興趣的朋友不妨去看看相關視頻。

NSS Labs報告原文鏈接：http://www.nsslabs.com/company/news/press-releases/nss-labs-finds-holes-in-majority-of-leading-network-firewalls.html