近來，各大廠商的網(wǎng)站競相出現(xiàn)安全問題。比如WordPress.com遭遇大規(guī)模DDoS攻擊，MySQL.com和Sun.com遭到攻擊等等。前兩日更爆出7天酒店數(shù)據(jù)庫被盜，黑客網(wǎng)上叫賣會員信息的新聞，看來企業(yè)的安全問題真的是不容小覷……

不過話說回來，相信有一定規(guī)模的企業(yè)，都會進行安全部署，在安全產(chǎn)品方面的投資肯定也不會少，但是，用上了安全產(chǎn)品就真的安全了么？這個問題的答案也只能用maybe來回答。

近日國外媒體報道，來自獨立測試機構(gòu)NSS Labs的最新研究表明，六分之五的常用防火墻無法阻止企業(yè)遭受常見的攻擊，例如TCP/IP協(xié)議入侵。

NSS Labs在今年初承擔(dān)了一項針對主要防火墻的研究，發(fā)現(xiàn)除了Check Point的產(chǎn)品之外，所有的被測系統(tǒng)都無法保持其穩(wěn)定性，也不能對TCP握手泛洪攻擊進行處理。TCP/IP攻擊等同于IP泛洪。

未通過測試的防火墻產(chǎn)品包括思科的ASA5585，F(xiàn)ortinet公司的Fortigate 3950B，Juniper的SRX 5800，Palo Alto的PA-4020和Sonicwall的E8500。其中一半產(chǎn)品的系統(tǒng)容易崩潰，六分之五的產(chǎn)品無法檢測TCP握手攻擊。

此次測試中的發(fā)現(xiàn)非常重要，因為防火墻是企業(yè)網(wǎng)絡(luò)安全的第一道防線。NSS在首次發(fā)現(xiàn)漏洞時曾經(jīng)聯(lián)系廠商進行修復(fù)，但沒有響應(yīng)。因此，NSS決定公布測試結(jié)果。

51CTO編者按：參加本次NSS Labs防火墻測試的廠家有六個：Check Point、思科、Fortinet、Juniper、Palo Alto和Sonicwall，其中分別對上述6個公司的某單一產(chǎn)品進行了測試，其中5家產(chǎn)品都出現(xiàn)了安全漏洞，可見安全產(chǎn)品并非覺絕對安全……

雖然其中5家的產(chǎn)品出現(xiàn)了問題，但是并不能說明剩下的1家產(chǎn)品是絕對安全的，也不能說另外5家其他產(chǎn)品是有問題。安全總是相對來看的，在平時沒有出現(xiàn)問題的時候，我們很難評估這些安全效果，只有在出現(xiàn)某些安全事件的時候，才能看出這些產(chǎn)品是否有效果。所以，我們要客觀的來看待安全問題。

其實，在企業(yè)部署安全策略的時候，不能光依賴于產(chǎn)品的使用，企業(yè)安全更是包含了多種多樣的問題，不單是安全產(chǎn)品的使用，也要有一個整體的安全規(guī)劃，一個嚴(yán)格的安全制度以及一個完善的人員管理規(guī)范。這樣才能建立一個立體的安全系統(tǒng)，即便其中單一環(huán)節(jié)出現(xiàn)問題，也能從其他環(huán)節(jié)上進行一個應(yīng)急的措施，將損失降到最低。在上期企業(yè)安全運維的技術(shù)沙龍中，我們也討論了不少這方面的問題，感興趣的朋友不妨去看看相關(guān)視頻。

NSS Labs報告原文鏈接：http://www.nsslabs.com/company/news/press-releases/nss-labs-finds-holes-in-majority-of-leading-network-firewalls.html