使用防火牆的正確的觀念

Linking Posts

隨者企業越來越重視資訊安全，許多公司企業網路都會在端口裝設防火牆(Firewall)或是UTM等設備，以阻擋外部攻擊與限制內部對外的不安全連線，但是還是會發生資訊安全方面的危機，以緻許多公司企業對於網際網路化猶豫不決，乾脆因噎廢食不使用網際網路，在下提出對於使用或是採購防火牆前一些基本應有正確的觀念 的淺見
隨者企業越來越重視資訊安全，許多公司企業網路都會在端口裝設防火牆(Firewall)或是UTM等設備，以阻擋外部攻擊與限制內部對外的不安全連線，但是還是會發生資訊安全方面的危機，以緻許多公司企業對於網際網路化猶豫不決，乾脆因噎廢食不使用網際網路，在下提出對於使用或是採購防火牆前一些基本應有正確的觀念的淺見
1. 防火牆的關鍵在於如何定規則，不管哪一家的防火牆都一樣，主要端看訂出防火牆的規則是否嚴謹且合宜，所以防火牆的能力是根據所制定的規則，而不是哪一家防火牆比較安全。
如同之前國內密碼學大師黃宗立教授所言，多半的資安問題的發生都不在於程式技術、資安設備、密碼保護...等，大部分的問題都還是出現在人身上。
2. 再來防火牆無法有效解決無線網路的資訊安全問題，因為無線訊號是散佈於空氣中，隻要在訊號範圍內。有心人可以藉由接收無線訊號來解析內容或是與傳送假裝的合法資料給區域網路的使用者。但無線通訊包含Bluetooth或是WiFi802.11或是WiMax都已經有加密的協定，甚至WiFi以及BluetoothV2.0都已經有成熟的產品或是軟體可以加密以及完成認證機制了。
所以跟前一點一樣，若是網路管理者還是忽視這些小地方，就可能讓一個花了大把銀子或是時間建置的安全系統出現大漏洞。感覺很像是家中鐵門做了五把鎖，還加指紋辨識...等技術，可是窗戶永遠沒有關一樣是白做工。
3. 防火牆無法解決人與制度面的問題，防火牆隻能解決網路上的問題，但是許多問題根本發生在人與制度面上，這些防火牆管不著，這個層面要看在上位者的智慧來解決了。
就如同現在在研發的系統保護機制一般，我們透過一顆加密IC執行系統保護，其演算法採用128bit的加密Key機制，透過作業系統執行初始執行中檢查儲存的Key與加密IC中的Key是否相同。工程人員常常會陷入依賴這IC作保護而忽視其他部分。比如，要是我要破解，怎可能會去破那KEY。我會去找到關鍵RD，請他喝酒或是去...，然後就...了。所以這保護的關鍵應該在於讓Key的設計、保存、設定、讀寫都可以分別把人的因素降到最低才是重點。 一點淺見...
歡迎轉載文章，但是請保留原始連結
http://www.ithome.com.tw/plog/index.php?blogId=610