网络防火墙的悲哀
网络防火墙,相信大家都不会陌生了吧,然而你有对网络防火墙了解多少呢?也许,你对你钟情的网络防火墙很有信心,然而今天,我偏要无情的告诉你:你做钟情的防火墙是一个心理安慰剂。
试问在现在流行的网络防火墙中,有哪一个防火墙厂家敢说自己的产品天衣无缝?没有!他们不敢。
这反映在技术上的不成熟上。这里所说的技术不成熟分为以下几个方面:
一、死板的判断木马数据包
如果你细心观察,你就会发现通常防火墙默认规则那里关于木马的判断标准基本上是单靠端口判断。实际上,单靠端口判断木马是绝对不可能的,是不完善的。就等于绝对的说“有胡子的人是男人,因此所有男人都有胡子”。大家或许觉得好笑,其实的确如此。防火墙就机械的守着那个被规定为木马端口的端口不放,嘿嘿,谁要从这里过,我就逮着他!我认为,单靠端口来判定木马,这样误报率绝对不低于80%。
还有一些高级一点的,就有除了规定端口,还输入了一些木马特征。这样就稍微好些,误报的几率大大减少了。但是我还是可以告诉你,误报率还是很高。为什么?细心的朋友也一定会发现,其中的木马特征不多(通常以十六进制设定),最多也只有那两三行。就是因为这样,防火墙就盯着那个被规定为木马端口的端口,一看见该特征,不管三七二十一,逮!实际上,有许多合法的数据包也可能带有次特征,毕竟现在的木马程序都是以“合法化”的指导思想来编写的。我认为,即使加上了木马特征,误报率也会有50%。
也许细心的朋友就会问:“如果我将木马数据包的全部代码写入特征,这样误报率不就降到几乎为零了吗?”的确,这样的误报率很低,但是你忽视了一点:如果这样的话,且不说对系统资源的消耗,单说一旦出现变种,这套判断方法是绝对不可行的。况且,我倒要问问:到底有多少人能有手段拿到大多数常见木马的数据包代码?到底你要用多少时间来添加规则?况且,如果设置的木马特征多了,恐怕你宝贵的系统资源和你梦寐以求的网速都会保不住了!
这是一对矛盾:既要保证速度,又要保证质量。速度是显而易见的,因此必须优先保证;至于质量嘛,就难说了。
二、对于黑客攻击无能为力
能防御来自网络上的攻击是网络防火墙的卖点,然而人们在陶醉于自己防火墙安全保护的同时,有没有反问一句:我的防火墙到底能不能保证我的安全呢?
防火墙对于真正的黑客,是无能为力的,因此,我且不说这些高手中的高手。但是,对于一些网络上的捣乱人士,恐怕防护墙也无法起到真正的防御作用。
在这里,我不想举高深的例子,就说ping吧。
现在的防火墙都说能避免别人用ping命令测试你是否在线,但是我觉得真正能做到的防火墙是很少很少的。要么,就是不管三七二十一,是ICMP协议的数据包就拦截;要么,对于对于别人的ping熟视无睹……
防ping是如此,不要说防别的了。算了吧……
为什么会这样呢?防火墙是设立在计算机(群)与互联网连接的中间地带。是一道在计算机(群)和互联网之间的门。。然而,现在问题不在于防火墙,而在于防火墙底下的基石——计算机太弱智:计算机只认识0和1,只能进行简单的加法计算和简单的逻辑判断。现在所说的智能化,实际上只是建立在大量数据的基础上的简单生搬硬套中的。脱离了那些繁琐的数据,恐怕它的智能化还不及一个没长大的孩子。要想解决这个问题,恐怕还要从实现计算机真正的智能化入手。我认为:计算机真正的智能化,就要体现在“举一反万”上。机械的套用那些不具有普遍性的公式,要想实现智能化是不可能的。
面对这样一个心理安慰剂,我们能做什么?可以说,我们能做的东西很少。我只想告诉你:不要将一切希望都放在你钟情的防火墙上,实际上它在很多时候都背叛了你……
--------------------
我自豪,因为我是中国人,我为祖国学习和奋斗!穷且益坚,不坠青云之志!许多人曾经梦想过当一名人民解放军,但是这个愿望不一定能实现。然而在网络时代,我更愿意做个网络安全守护者。虽然这是一片没有硝烟的战场,但战斗依然激烈,每一寸空间,都是那么的宝贵!我们将努力学好知识,捍卫我们的网络安全。我很少无聊的聊天,我抵制虚拟的网络游戏,我决不让时间白白的浪费!我决心用我的身躯在中国网络空间抵御一切外来攻击!
页:
[1]