这篇文章是TechXchange:网络安全
的消息病毒和ransomware似乎每天都会发生。在某些情况下,系统被破坏是因为直接攻击系统或通过其他手段,如通过电子邮件附件或USB闪存驱动器上的文件。通常情况下,它们利用安全漏洞利用蠕虫或机器人来破坏网络上的其他计算机。
PC等设备上的防火墙可以通过限制对设备的访问来帮助防止这种情况的传播。挑战在于,有些系统没有防火墙,或者存在一些问题,使设备无法获得足够的保护。例如,医疗设备等应用程序领域中的遗留系统可能是在由于认证或遵从性原因无法升级的旧操作系统上实现的。
这就是外部防火墙/安全设备可以为遗留设备提供保护的地方。这通常是通过在遗留设备和局域网(LAN)之间设置外部防火墙来实现的。
Icon Labs的《Floodgate Defender》便是外部防火墙的一个例子。它有一对以太网连接。一个连接到旧设备。另一个连接到局域网。Floodgate Defender的微控制器运行Icon Labs的软件来提供防火墙服务。
Icon Labs的Floodgate Defender位于像PC这样的设备和网络之间。
外部设备的优点是双重的。首先,它可以独立于遗留设备进行更新。其次,它独立于旧设备运行。如果旧设备已遭破坏,外部设备仍有可能侦测及防止受损设备将其恶意软件传播至网络上的其他设备,或与互联网上的应用程序通讯。
Floodgate Defender使用了Maxim集成产品公司的安全协处理器。它提供了遗留系统中经常缺乏的安全密钥存储和密码加速器。提高了外部防火墙对加密功能的抵抗力,实现了外部防火墙的安全引导。
理论上,基于主机的防火墙可以限制设备上的应用程序与连接到网络上的其他系统之间的通信。不幸的是,如果主机被破坏,那么防火墙可以被禁用或绕过。同样,主机通常可以完全访问网络,因此一个被破坏的系统可以连接到网络和互联网上的其他设备,假设有一个到互联网的网关。
外部防火墙可以做与基于主机的防火墙相同的事情,但破坏主机不会对外部防火墙做同样的事情。正确配置的外部防火墙可以将主机可用的连接限制为可能网络连接的一个重要子集。例如,x光机可以将扫描结果发送到文件服务器。它也可能有一个web服务器用于远程配置。外部防火墙只允许这两种连接,并且可以限制连接另一端设备的IP地址。这可以保护设备不受局域网上颠覆性系统的影响,同时也可以在主机受到攻击时限制任何攻击。
这种方法对于嵌入式应用程序非常有效,在这种应用程序中,主机设备定义得很好,并且它们应该建立的连接是有限的。具有更多开放连接(如web浏览器)的系统更具有挑战性,因为它们通常需要无限的连接,但即使是这些连接也可能由外部防火墙控制。
像Floodgate Defender这样的单个设备在设备数量有限或需要物理隔离的情况下工作得很好。Floodgate Defender并不一定要位于它所保护的设备旁边,但这是典型的情况。另一种方法是将外部防火墙放置在旧设备所连接的交换机附近。
“我们的关键基础设施的很大一部分由传统设备控制,这些设备最初设计用于封闭网络,因此很少或根本不安全。尽管它们在管理我们的电网、工厂、通信网络和医院方面发挥着关键作用,但它们大多数很容易成为网络罪犯和网络恐怖主义的目标。”Icon Labs总裁艾伦•格劳说。“这些设备中有许多无法进行安全升级,用新的安全版本替换它们将需要数年时间。”
另一种方法是将外部防火墙支持与网络交换机结合起来。到交换机的旧设备连接被替换为到防火墙设备的连接。
沃奇卫士是否有一家公司提供一系列面向交换机的防火墙设备,如Firebox M440(图2)这为每个端口提供了保护。它的外观和操作类似于以太网交换机,只是数据包在移动到交换机之前首先要通过每个端口的防火墙。这个特殊的设备有25个千兆以太网端口,其中8个提供以太网供电(PoE)支持。还有两个10gbit /s端口。
Watchguard的Firebox M440有25个千兆端口,8个支持PoE,一对10gbit /s端口。
与单个设备相比,基于交换机的解决方案更具成本效益。管理可能更容易,但通常这两种外部防火墙设备都是为大规模部署和管理而设计的。
独立的或基于交换机的外部防火墙已经可用了很长一段时间,令人惊讶的是,它们没有用于关键的基础设施应用程序,比如医院,在那里遗留系统的安全支持通常是有限的。原因通常是成本,但这实际上是微不足道的相比,整个网络泄漏一次。大多数系统都可以快速安装,甚至在安装后进行配置。
网络安全并不总是容易实现和管理,但没有理由不能提供适当的保护,即使是遗留设备。
