防火墻一直以來都問題不斷，如今更是沒有理由繼續用它，因為面對現代攻擊毫無效果的東西要來何用?但這種結論只適用于傳統防火墻，最新世代的防火墻能提供客戶端防御及網絡防護，不僅有用，還是必需品。

[[244391]]

傳統防火墻擅長抵御的攻擊

傳統防火墻只能阻止或允許特定IP地址和端口，能防護的東西相當有限。最常見的應用場景就是阻止未授權用戶或惡意軟件連接未受保護的監聽服務或守護進程。即便忽視路由器在IP/端口過濾上的超高效率，時代和攻擊類型也發生了改變，傳統防火墻如今很大程度上形同虛設。

20年前，阻止未授權連接很有意義。大多數計算機都防護不嚴，口令也弱，不僅滿載渾身漏洞的軟件，還往往開放有允許任何人登錄或連接的服務。發個畸形網絡包就能搞掉普通的服務器，而且這還是在管理員沒設置允許匿名連接的完全管理員權限遠程服務的情況下才需要，如果設了這種遠程管理服務，那基本上可以隨隨便便摸進服務器。至于Windows的匿名NETBIOS連接，在 Windows XP 默認禁止前的15年里，一直都是黑客的寶貴財富。

如果你的防火墻只是用于封禁未授權IP地址或協議，那用個路由器會好得多，也快得多。計算機安全界有句格言：“首選最快最簡單的方法。”說的就是這個道理，如果有什么東西是可以用更快更有效率的設備加以封堵的，那就將那臺設備用作你的第一道防線。這樣會更快更有效率地摒除更多你不想要的流量。路由器的“上層”代碼要比防火墻少很多，規則列表也更短。路由器的條件決策循環比防火墻快上幾個數量級。不過，如今的威脅環境下，還需不需要封禁這些未授權連接，這一點難說。

防火墻最擅長阻止對監聽服務的未授權遠程連接，可以防止攻擊者在連接后利用緩沖區溢出接管計算機的控制權。這正是防火墻誕生的最主要原因。有缺陷的服務太常見了，都已經被認為是常態。沖擊波、Slammer蠕蟲之類的惡意程序利用這些服務可以在幾分鐘里席卷全世界。

現在的服務并沒有那么脆弱。程序員如今使用的編程語言默認就會檢查緩沖區溢出。用來阻止傳統漏洞利用方法的其他操作系統計算機安全措施也很擅長做這事兒。微軟每年都能在其產品線上發現130-150個漏洞。自2003年算起，發現的漏洞數約2000個。但只有5-10個是僅供遠程利用的。同一時期，蘋果和Linux機器的漏洞更多，但僅可遠程利用的漏洞進程占比是一樣的。

必須明確一點：雖然可利用的脆弱服務成百上千，但幾乎全都需要本地終端用戶做點兒什么才能發起攻擊。要么是點擊惡意鏈接，要么是訪問掛馬網站。為什么必須本地用戶參與?因為只有當終端用戶這么做的時候，才可以創建一條“經允許”的出站連接，然后順理成章地再來一條“經允許”的入站連接回連到用戶的計算機。如今所有攻擊幾乎都是“客戶端”攻擊，而防火墻并不擅長阻止此類連接。

端口阻塞不再有效

每個服務都用自身固定TCP/IP端口的時期，比如FTP用21/22、SMTP用25，這樣說來，傳統防火墻要更為有用些。

今天，全世界的網絡流量大部分都走80(HTTP)和443(HTTPS)端口，而且只用后者的情況會越來越多。那些尚未走443端口的網絡流量在未來幾年里也會切到443上的。如果什么都綁定在少量幾個端口上，那端口阻塞還有什么意義?不止如此，HTTPS默認加密的特性也會讓流量過濾更難以執行。

邊界正在消失

防火墻是典型的安全域邊界。定義出兩三個安全邊界就可以用防火墻控制其間的流量。然而，這些有效的、可保安全的邊界，這10年來一直在衰落。邊界從來都不完美，但自從我們開始將互聯網接入其他網絡，開始將WiFi路由器接入各種網絡，邊界就真正步入消亡了。

只有一兩個網絡邊界時，防火墻還能有點用，但當我們開始添加“隔離區(DMZ)”和其他“授權網絡”時，防火墻就顯得不夠用了。而當長期聯網成為常態，我們不得不承認，邊界和傳統防火墻的末日到了。

長期以來，很多IT安全人員都認為我們還擁有安全邊界，但只要一審計，就會發現這些邊界根本就漏得跟篩子一樣。因為怕破壞了某些關鍵服務或應用，網絡管理員基本上都會放行每個未定義的流量路徑。

防火墻管理糟糕

除了虛假的邊界安全感，大多數防火墻還管理糟糕。幾乎所有家庭用戶都不知道防火墻是什么、有什么用，即便自家電腦上默認開啟了防火墻，他們也從未關注或配置過。企業端的情況也不見得好到哪兒去，盡管企業安全人員有時候會自欺欺人地覺得自己做得還好。

企業防火墻正確配置的情況真的很少見，一半以上都部署的是瘋狂的“任意()”規則，完全失去了設置防火墻的意義。絕大多數防火墻允許的流量通路和協議都比業務所需范圍要廣得多。而且，即使防火墻最初是正確配置的，只需一年時間，大多數企業就不得不為自己造成的防火墻配置泥潭花錢購買可以更好地管理防火墻配置的軟件。未授權配置更改讓公司企業無暇顧及怎么用防火墻保護自身安全。

糟糕的日志也是傳統防火墻痛點之一。絕大多數防火墻日志都包含百萬條事件記錄，雖然記錄詳盡準確，但對真正的安全防護來說毫無用處。防火墻的“噪音”實在太大，管理員應該注意的潛在有用事件反而被淹沒了。

另外，企業防火墻的修復情況也不容樂觀。保持更新，完全修復的防火墻少之又少。很多設備防火墻中存在公開已知漏洞。這些防火墻已經不是安全防線，反而成為了潛在的攻擊界面。

智能防火墻怎么樣?

今天的防火墻不僅僅是過濾端口和套接字，還帶有VPN或HTTPS檢查功能，甚至可以執行入侵檢測/防御、URL過濾、上層攻擊阻塞、DDoS攻擊阻止和內聯修復等等操作。防火墻已經進化到遠遠超出簡單的端口和協議封禁的程度了。

IP地址和端口過濾這種傳統防火墻操作已經沒有太大價值，但今天的大多數防火墻所做的遠不止這些。防火墻已經從嚴格的邊界防線，進化到了內部脆弱核心的防護層。如果仔細觀察如今的防火墻所提供的各種服務，你會發現用于客戶端防護的和用于網絡防護的幾乎一樣多。這是件好事兒，廣受歡迎，且好處多多。

如果你正考慮購買新的防火墻，不妨關注那些提供可以消解最大風險的控制功能的(如：URL過濾、補丁發現、內聯修復)。畢竟，現代防火墻不應該和父母輩用的是同款。

【本文是51CTO專欄作者“”李少鵬“”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文