近来，各大厂商的网站竞相出现安全问题。比如WordPress.com遭遇大规模DDoS攻击，MySQL.com和Sun.com遭到攻击等等。前两日更爆出7天酒店数据库被盗，黑客网上叫卖会员信息的新闻，看来企业的安全问题真的是不容小觑……

不过话说回来，相信有一定规模的企业，都会进行安全部署，在安全产品方面的投资肯定也不会少，但是，用上了安全产品就真的安全了么？这个问题的答案也只能用maybe来回答。

近日国外媒体报道，来自独立测试机构NSS Labs的最新研究表明，六分之五的常用防火墙无法阻止企业遭受常见的攻击，例如TCP/IP协议入侵。

NSS Labs在今年初承担了一项针对主要防火墙的研究，发现除了Check Point的产品之外，所有的被测系统都无法保持其稳定性，也不能对TCP握手泛洪攻击进行处理。TCP/IP攻击等同于IP泛洪。

未通过测试的防火墙产品包括思科的ASA5585，Fortinet公司的Fortigate 3950B，Juniper的SRX 5800，Palo Alto的PA-4020和Sonicwall的E8500。其中一半产品的系统容易崩溃，六分之五的产品无法检测TCP握手攻击。

此次测试中的发现非常重要，因为防火墙是企业网络安全的第一道防线。NSS在首次发现漏洞时曾经联系厂商进行修复，但没有响应。因此，NSS决定公布测试结果。

51CTO编者按：参加本次NSS Labs防火墙测试的厂家有六个：Check Point、思科、Fortinet、Juniper、Palo Alto和Sonicwall，其中分别对上述6个公司的某单一产品进行了测试，其中5家产品都出现了安全漏洞，可见安全产品并非觉绝对安全……

虽然其中5家的产品出现了问题，但是并不能说明剩下的1家产品是绝对安全的，也不能说另外5家其他产品是有问题。安全总是相对来看的，在平时没有出现问题的时候，我们很难评估这些安全效果，只有在出现某些安全事件的时候，才能看出这些产品是否有效果。所以，我们要客观的来看待安全问题。

其实，在企业部署安全策略的时候，不能光依赖于产品的使用，企业安全更是包含了多种多样的问题，不单是安全产品的使用，也要有一个整体的安全规划，一个严格的安全制度以及一个完善的人员管理规范。这样才能建立一个立体的安全系统，即便其中单一环节出现问题，也能从其他环节上进行一个应急的措施，将损失降到最低。在上期企业安全运维的技术沙龙中，我们也讨论了不少这方面的问题，感兴趣的朋友不妨去看看相关视频。

NSS Labs报告原文链接：http://www.nsslabs.com/company/news/press-releases/nss-labs-finds-holes-in-majority-of-leading-network-firewalls.html