少吃点多锻炼 - 防火墙之父悟出安全之“道”

马尔科斯是世界知名的安全专家，被公认为是代理防火墙的发明人，是第一个商业防火墙和早期的入侵检测系统的实现者，获得互联网安全大会(TISC)的CLUE大奖和ISSA终身成绩奖等多项奖项。马尔科斯从事安全工作已有16年之久，比商业互联网的历史还长六七年，网民多称他为“防火墙之父”。这位搞安全的老人，最近说自己在“浪费时间”。研究一下他的安全观，对我们或许有帮助。

　　他认为，现在人们把安全搞得很难、很复杂、很神秘、很玄、很时髦，也很前卫。人们对待网络安全就像对待火箭科学，甚至是像对待犯罪现场取证的学问一样，但事实是，计算机和网络安全真的是一件相当简单的事情。

　　安全不是做多复杂多聪明的事情，而是不要做些蠢事。我们想安全地做一些危险而又蠢的事情，付出的代价必然很高。现实中，这条规则是如此清楚地影响到我们的生活，吃野生动物是危险的，有带来SARS的危险；如果非要吃，付出的代价将是巨大的。

　　这条规则也反映在人的健康问题上，一个人吃得太多了，就会长胖，身体的健康程度就不会太好。想保持自己的健康，控制饮食可能是好办法，而不是减肥，减肥不是健康的好办法。同样的道理，要保持计算机和网络的安全，少干一些不必要的应用如聊天、游戏等，可能是最好的办法。不要指望，干很多危险的事情，将自己处于危险之中，然后再想办法来免遭威胁和保证安全。

　　马尔科斯说自己在“浪费时间”，原因是他从事的是“减肥”安全。等他发现了这个问题才恍然大悟，于是提出了一个有趣的理论，“低碳安全(low-carb security)”，即低碳水化合物，就像素食一样。说到素食，它肯定有效，但实际上是一个很难的选择。难就难在让人们都去吃素食，都不吃大鱼大肉。另外一个简单、经济、有效的选择是，少吃点，多锻炼。

　　在网络安全问题上，人们往往不是安全地去运行少数必要的网络服务，而是开放很多的不安全、不必要的服务，甚至是一些特别不安全，如隧道的应用，然后耗费大量的时间和金钱，企图把这些不安全的应用变成安全的。就像胖子一样，先痛快地大吃，变成了胖子，然后，再花钱来减肥，企图保证自己的健康。马尔科斯本身在这种模式下努力了16年，也没有看希望。最近一个网络上的帖子询问，为什么安全这东西这么难？有没有什么简单有效的办法指南？他才突然地意识到这个道理。他把这套安全理论总结为“少吃点，多锻炼”。

　　马尔科斯基于这套理论，对网络安全开出了安全药方。其基本的内容是：

　　所有缺省的安全策略是拒绝所有(Deny All)，然后只准许哪些是必须的服务。尽可能少地提供服务，记录这些服务的使用日志，对应用的错误进行检测，当然你也可以进行入侵检测。了解网络上在跑些什么，如果管理员不知道网络上在跑什么东西，怎么保安全？内部尽可能隔离。隔离往往是最好的办法。不安全格式的内容尽可能不要流入内部，除非它是从可靠渠道来的。了解防火墙上流出的流量是什么，如果你了解了，你就不需要什么高级东西来判断木马、间谍软件、病毒、非授权访问等。最好全部七层都进行控制，而不只是一层，深层防御不是只在一层。不要浪费时间天天打补丁，如果你天天在大补丁，你已经被误导。移动办公隔离到一个独立的区，移动办公很好，可是不安全。防病毒软件很好，但不要指望天天升级。最好了解内部网络上使用的都是些什么软件。不要指望用户理解你的安全策略是什么，简单地说明该怎么做。安全外包是一个坏办法，除非你可以接受你的安全可以交给别人把握。

　　马尔科斯相信这是一个简单而强大的主意。假如你采取了这些措施，你可能永远不会被黑。