你不知道的防火墙威胁

　　几乎所有的防火墙都是单向的，它们可以保护你免受来自互联网的邪恶的探头和探针的侵害，但却允许你从内部发送任何数据出去。只有较高层次的企业IT领导，才能看到设置了防止数据离开网络的过滤器。

　　我说的并不是基于内容防止对某些网站访问的设施或者阻止P2P应用程序的过滤器，我说的是当异常数据从内部主机通过防火墙时，积极阻止或者发出警报的设备。例如，在秘鲁工程设计公司工作的人不太可能会发送大量数据到俄罗斯网站，如果过滤器或者网络流量监控发现了这个不寻常的活动，这些公司就不会损失数以万计的蓝图，但他们的防火墙轻易地让这些机密信息发送了出去。

　　我们现在面临着越来越多的内部威胁，不仅仅是病毒和诸如此类的威胁，还有间谍活动。最近有一些传闻称，在国外生产的计算机硬件的芯片中可能包含木马程序，允许对任何敏感设备进行远程控制，为攻击者广开后门。

　　不要认为这是不可能的事情，这在技术上是可行的。打击这种深入入侵的唯一办法就是对离开网络的数据进行严格地监控。我敢打赌，现在的绝大多数的企业基础设施都没有这种能见度，而使用这种监控技术的人甚至没有意识到这种威胁。

　　但我们如何对出站流量进行控制?在第四层锁定防火墙的内部并不能防止数据泄露，即使你明确阻止属于外国或者竞争对手的IP地址范围。创建和维护这样一个黑名单是徒劳无功的。

　　处理这种情况的唯一方法是使用深度数据包检测，并且在数据包出网络之前，对每个数据包进行检查。例如NIKSUN的NetDetector设备就可以实现这一目的，它可以被配置为当经过的流量符合某种模式、包含某种文件或者显示出特定文本字符串时，就会发出通知。当然，使用重型加密可以规避这些触发器，但如果突然出现发往未知IP地址的加密流量时，仍然需要进行深度检测，你就可以立即确定内部来源，因为你有完整的数据包流。

　　试想一下这样的情况，主要硬件制造商在不知情的情况下将嵌入木马的芯片放入防火墙产品本身中，你可以通过防火墙查看所有经过的流量，但你可能无法发现有些数据已经被复制或者发送到另一站点。这种木马甚至还可能在内部缓冲敏感数据，在正常流量中缓慢稳定地释放这些数据以降低其能见度。

　　数据也可能通过蜂窝数据供应商，这样在企业基础设施内就没有任何该数据存在的痕迹，虽然一些数据中心有很少或者没有蜂窝接收，但大部分数据中心都有。这也是让企业IT安全人员夜不能寐的事情。

　　在IT的很多方面，预先得到警报就能预先做好准备。追求真正的网络安全和能见度是一场持续不断的斗争，即使我们得到很多预先警告，但还是不能确保我们能够打赢这场战争。但这并不意味着我们就应该退出这场斗争，如果你现在没有监控你的出站流量，那就应该尽快计划进行监控。不管你是从NTop还是从NIKSUN过滤设备开始，这都是值得的投资。