企业上网是否应该是赤裸的？

ZDNet安全频道原创翻译 转载请以文字链形式注明出处

作者：利亚姆·董

安全和通信专家威廉·查斯威克认为，企业应该重新考虑网络策略，摆脱防火墙的束缚，实现轻松上网。

作为《防火墙和网络安全—击退老谋深算的黑客》一书的作者，威廉·查斯威克在本周黄金海岸举行的AusCERT二○○八年度安全会议上告诉ZDNet澳大利亚，防火墙这样的业务应该立即停止以避免资金的浪费。

“现在是时间让人们从防火墙后面走出来轻松上网了。在过去的十三年中，我一直呼吁这么做，现在我认为企业的某些部分可以作到这一点了。”他告诉ZDNet澳大利亚。

查斯威克是美国电话电报公司的一名研究员，负责分布式计算和通信方面的研究。他说，防火墙的设计目的是为了防止BitTorrent之类的服务进入企业网络，从而导致员工不工作非法下载音乐和电影等文件造成企业成本和资金的浪费。

“ [关闭]它将削减成本，而且可以让工作继续。我们的政策是，在公司内部不支持BitTorrent。你使用BT做什么呢？下载电影？另一方面又有软件只支持BT下载。那么，我们就需要对事情进行分析，或许应该重新思考我们的安全政策。” 他说。

IBRS安全分析师詹姆士·特纳认为，设置防火墙就等于邀请攻击企业网络。

“问题在于你必须保持开放防火墙的例外情况，就如Geekonomics的作者大卫·里奇指出的那样，你建立了一个墙，就等于选择了一个防御的立场，邀请别人来攻击。对于防火墙来说，有一点是确认的，如果有一个端口是开放的，那攻击的来源就是这个端口。”特纳对ZDNet澳大利亚说。

许多管理软件需要为不同服务提供不同的端口，防火墙为了保证网络或电子邮件等功能的运行也必须公开相关的端口，这也就相当于扩展了可攻击的范围。特纳补充说。

这里还存在另外一个问题，Sense of Security企业安全测试方面的首席顾问贾森·艾德尔斯汀指出，防火墙通常不审核通过一个开放端口的数据流动情况。

“有些防火墙并不检查通过一个端口的数据情况。网站浏览是运行在端口80，并不意味着你不能通过其他协议通过该端口。”他告诉ZDNet澳大利亚。

IBM互联网安全系统公司的资深产品经理约翰·皮尔奇告诉ZDNet澳大利亚，IBM的一些客户已撤消了防火墙，并取代为入侵防护系统（IPS） 。

“我认为防火墙的需求还是存在的。但是，对与需要寻找安全的威胁和脆弱性，对数据包进行检测的用户来说，入侵防护系统是更好的选择。我已经发现一些客户已撤消了防火墙，并取代为入侵防护系统。”他告诉ZDNet澳大利亚。

不过，皮尔奇表示，尽管安全不应限制员工的工作，但在引进一些新的应用业务必须对风险有一个清醒的认识。

“当你了解BitTorrent的时间，需要考虑到如果有人在公司内部使用流媒体和其他类型的内容的时间，公司可能面临的法律责任。公司可能在哪些方面被追究法律责任。”他说。

例如，文件共享服务就可以穿透了典型防火墙的防护，让其失去了作用。

“类似BitTorrent很多这样的工具都可以穿透防火墙，因为它们知道用户都在企业防火墙的后面。它们非常聪明，可以选择使用已知的端口进行工作。”Sense of Security的艾德尔斯汀说。

“我们的分析报告显示，在某些情况下，大约百分之七十的网络流量正被用于BT类型的服务。”他补充说。

安装防火墙通常一个很好的理由和目的是抵御对业务的严重损害，艾德尔斯汀补充说。

不过，IBRS的特纳估计，尽管有这样那样的缺点，但摆脱防火墙言之尚早。

“目前的情况下，摆脱防火墙是非常荒谬。以游泳为例，在你游完泳的时间还是需要一个很好的淋浴的。”他说。