網(wǎng)絡(luò)防火墻是否已經(jīng)走到了盡頭？當(dāng)筆者在幾年前參加TechEd會(huì)議時(shí)聽(tīng)到有專家談?wù)?ldquo;DMZ的末日”，該話題吸引了很多人參與，并且激起了大家的很多爭(zhēng)論，大家都在討論是否仍然存在對(duì)防火墻的需求。在當(dāng)時(shí)，大家對(duì)于為什么在企業(yè)需要多個(gè)防火墻具有抵觸情緒并且反對(duì)這種做法。當(dāng)時(shí)的想法是，對(duì)存儲(chǔ)在網(wǎng)絡(luò)中信息的訪問(wèn)控制最有效的方法就是在信息和想要訪問(wèn)信息的人之間放置多個(gè)“障礙”。

當(dāng)時(shí)還是2004年，自那以后，計(jì)算環(huán)境已經(jīng)發(fā)生了很大變化，科技領(lǐng)域的變化速度比其他領(lǐng)域都要迅猛。隨后爭(zhēng)論的問(wèn)題不僅是企業(yè)需要多少防火墻和DMZ區(qū)域，還包括企業(yè)應(yīng)該使用哪種類型的防火墻。企業(yè)是否應(yīng)該使用高通量狀態(tài)數(shù)據(jù)包檢測(cè)，還是只是防火墻？你是否需要應(yīng)用程序?qū)訖z查？目的是否是同時(shí)控制內(nèi)部和外部訪問(wèn)？是否需要網(wǎng)絡(luò)級(jí)別的日志記錄和報(bào)告？哪個(gè)供應(yīng)商擁有最安全的防火墻？對(duì)于所有防火墻設(shè)備，你是否應(yīng)該選擇相同的供應(yīng)商？還是應(yīng)該選擇不同的供應(yīng)商？

云計(jì)算改變了一切

現(xiàn)在是2011年，而以上的討論早已“讓位”給當(dāng)時(shí)幾乎沒(méi)法設(shè)想的東西：關(guān)于云安全的考慮。業(yè)界很多人都預(yù)測(cè)2011年將是云的一年。隨著越來(lái)越多的企業(yè)將很多的信息和很多應(yīng)用程序轉(zhuǎn)移到云計(jì)算，云供應(yīng)商提供的安全水平成為熱門話題。企業(yè)在將他們的數(shù)據(jù)委托給企業(yè)網(wǎng)絡(luò)外的人之前，企業(yè)需要問(wèn)清楚以下問(wèn)題：

數(shù)據(jù)存儲(chǔ)在哪里？

是否進(jìn)行了磁盤加密？

什么是數(shù)據(jù)持續(xù)性的性質(zhì)？

對(duì)數(shù)據(jù)進(jìn)行了哪些訪問(wèn)控制？

云應(yīng)用程序進(jìn)行了哪些安全測(cè)試？

云應(yīng)用程序多久進(jìn)行一次更新？

使用了怎樣的取證方法？是否部署了有效的事件響應(yīng)計(jì)劃？

幾乎對(duì)于所有云供應(yīng)商而言，都很難回答清楚以上問(wèn)題。微軟、亞馬遜、谷歌和IBM對(duì)于云安全措施的細(xì)節(jié)都沒(méi)有完全透明化，不過(guò)這也很合情理，因?yàn)楣粽咴缴僦浪麄兊陌踩呗?，攻擊者就越難滲透這些控制。然而，如果你深度挖掘，你可以找到一些關(guān)于他們采取的安全策略的信息，并且你會(huì)發(fā)現(xiàn)關(guān)于云安全討論的有趣事實(shí)：關(guān)于使用了哪些防火墻或者是否在云數(shù)據(jù)庫(kù)中心使用了防火墻等問(wèn)題的答案。

你不禁想知道為什么是這樣的情況？尤其是在經(jīng)過(guò)數(shù)十年針對(duì)防火墻以及防火墻在網(wǎng)絡(luò)中發(fā)揮的多個(gè)關(guān)鍵作用問(wèn)題的討論后。也許是因?yàn)?ldquo;隨時(shí)隨地訪問(wèn)網(wǎng)絡(luò)”理念的升溫，企業(yè)希望員工能夠在他們需要的時(shí)候通過(guò)任何設(shè)備從任何地點(diǎn)在任何時(shí)間訪問(wèn)數(shù)據(jù)，而IT安全專家則意識(shí)到他們的防火墻實(shí)際作用已經(jīng)越來(lái)越小，而頂多是使用防火墻通過(guò)防止授權(quán)流量訪問(wèn)互聯(lián)網(wǎng)來(lái)減少內(nèi)網(wǎng)整體流量。

云計(jì)算和分布式數(shù)據(jù)可以放在多個(gè)地點(diǎn)和多種設(shè)備上的性質(zhì)讓我們意識(shí)到在可預(yù)見(jiàn)的未來(lái)，安全的“成功道路”很可能不是基于防火墻的策略。在20世界第二個(gè)十年開(kāi)始時(shí)，數(shù)據(jù)的高度移動(dòng)本質(zhì)意味著，采用基于防火墻的方法來(lái)進(jìn)行數(shù)據(jù)保護(hù)絕對(duì)是虧本生意。數(shù)據(jù)需要在其位置進(jìn)行保護(hù)。

DMZ真的有好處嗎？

當(dāng)你考慮在大多數(shù)環(huán)境部署DMZ的問(wèn)題時(shí)，你不得不承認(rèn)，它們只會(huì)讓網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)變得更加復(fù)雜，并且增加防火墻管理員的工作。DMZ被用來(lái)分離面向互聯(lián)網(wǎng)設(shè)備與企業(yè)內(nèi)網(wǎng)，也許這種方法存在一定的安全優(yōu)勢(shì)，但是問(wèn)題是，前端防火墻允許對(duì)聲稱“不安全的”服務(wù)的訪問(wèn)，而后端防火墻允許這種相同的流量接入內(nèi)網(wǎng)。這種配置的實(shí)際安全優(yōu)勢(shì)是什么？你可以說(shuō)，“垃圾流量”從面向互聯(lián)網(wǎng)設(shè)備卸下了，但是這些防火墻真的可以“保護(hù)”網(wǎng)絡(luò)嗎？答案是在大多數(shù)情況下它們不能保護(hù)，并且所有的防火墻基礎(chǔ)設(shè)施最終結(jié)果就是讓整個(gè)網(wǎng)絡(luò)安全管理更加復(fù)雜，以及增加業(yè)務(wù)整體成本。

此外，對(duì)數(shù)據(jù)安全采取的基于網(wǎng)絡(luò)的防火墻方法忽略了一個(gè)關(guān)鍵事實(shí)：大多數(shù)重大的安全泄漏事故都是由于內(nèi)部人員共計(jì)。最近的維基百科安全災(zāi)難就是因?yàn)閮?nèi)部人員共計(jì)，并且研究表明，很多最重大和損失最打的網(wǎng)絡(luò)破壞事件都是因?yàn)閮?nèi)部人員攻擊。

RSA在2009年的報(bào)告表示，內(nèi)部人員是比攻擊者更大的威脅。

并且2010年Verizon數(shù)據(jù)泄漏報(bào)告顯示，內(nèi)部人員泄漏事故正在上升。

在網(wǎng)絡(luò)邊緣的DMZ和網(wǎng)絡(luò)防火墻在阻止這些讓企業(yè)處于最大危險(xiǎn)之中的高威脅的攻擊方面毫無(wú)作為。

出站訪問(wèn)控制

出站訪問(wèn)控制如何呢？網(wǎng)絡(luò)防火墻是否有所作為？出站訪問(wèn)控制方面，網(wǎng)絡(luò)防火墻主要有以下表現(xiàn)：

它們可以防止接近零日攻擊

它們可以通過(guò)執(zhí)行URL過(guò)濾和網(wǎng)絡(luò)反惡意軟件檢測(cè)來(lái)減少互聯(lián)網(wǎng)的“攻擊面”

它們可以進(jìn)行出站SSL檢查所以惡意軟件無(wú)法隱藏在SSL通道來(lái)向互聯(lián)網(wǎng)的控制器發(fā)送企業(yè)信息

但是，在出站訪問(wèn)控制方面，防火墻面臨的挑戰(zhàn)就是并不是所有訪問(wèn)企業(yè)數(shù)據(jù)的設(shè)備都符合企業(yè)網(wǎng)絡(luò)訪問(wèn)政策。當(dāng)然，當(dāng)員工的筆記本在內(nèi)網(wǎng)中，一切都很好，并且他們的互聯(lián)網(wǎng)訪問(wèn)被鎖定，很安全。但是，如果員工出差了，筆記本連接到企業(yè)網(wǎng)絡(luò)訪問(wèn)控制不能控制的網(wǎng)絡(luò)呢？然后該員工又回到內(nèi)網(wǎng)，又將他在外部網(wǎng)絡(luò)的東西分享到內(nèi)網(wǎng)。在這種情況下(這對(duì)于大多數(shù)公司都很常見(jiàn))，企業(yè)出站訪問(wèn)控制防火墻無(wú)法控制這種問(wèn)題。

解決方案是什么？

因?yàn)樵朴?jì)算的出現(xiàn)，越來(lái)越多的設(shè)備開(kāi)始可以訪問(wèn)數(shù)據(jù)，數(shù)據(jù)可以放置的地點(diǎn)也越來(lái)越多，企業(yè)應(yīng)該將重點(diǎn)放在保護(hù)數(shù)據(jù)本身而不是網(wǎng)絡(luò)防火墻上。同時(shí)，企業(yè)需要部署更先進(jìn)的方法來(lái)進(jìn)行訪問(wèn)控制以及數(shù)據(jù)訪問(wèn)報(bào)告。另外，需要將保護(hù)文件本身作為機(jī)制部署，那樣只有授權(quán)人員才可以訪問(wèn)數(shù)據(jù)，無(wú)論文件保存在哪里。

ACL需要變得更加靈活和更加全面，比起我們現(xiàn)在使用的基于用戶/組的方法。你需要以一種更加現(xiàn)實(shí)的方式來(lái)評(píng)估用戶，包括以下標(biāo)準(zhǔn)：

用戶是員工還是承包商？

如果是員工，是專職還是兼職？

用戶是特定項(xiàng)目組成員嗎？

用戶是否被分配到某個(gè)安全分類？

用戶是否暫?；蛘唠x開(kāi)？

這些標(biāo)準(zhǔn)和其他用戶特征比用戶屬于哪個(gè)“組群”更有價(jià)值，并且你應(yīng)該能夠設(shè)置訪問(wèn)政策以滿足實(shí)際需要。

上面所述是良好的開(kāi)始，但是初步評(píng)估和授權(quán)只是剛開(kāi)始。當(dāng)數(shù)據(jù)從原地址轉(zhuǎn)移出去后，必須對(duì)其進(jìn)行安全保護(hù)，不管數(shù)據(jù)被轉(zhuǎn)移到哪里。這也是為什么權(quán)限管理服務(wù)(RMS)重要的原因，事實(shí)上，如果權(quán)限管理被應(yīng)用到維基百科穩(wěn)當(dāng)，很有可能就不會(huì)發(fā)生那樣的災(zāi)難。

防火墻是否會(huì)退出歷史舞臺(tái)？

在這一點(diǎn)上，你一定會(huì)覺(jué)得奇怪：防火墻會(huì)怎么發(fā)展？我們是否應(yīng)該摒棄防火墻？是不是浪費(fèi)了花費(fèi)在學(xué)習(xí)防火墻上的時(shí)間呢？事實(shí)上，防火墻并不會(huì)退出歷史穩(wěn)態(tài)，但是像其他引領(lǐng)你成功的安全方法一樣，防火墻安全技術(shù)需要更加貼近信息保存的地點(diǎn)?，F(xiàn)代計(jì)算機(jī)處理器的力量有能力在每個(gè)客戶端系統(tǒng)裝上復(fù)雜的防火墻，事實(shí)上，這正是Windows 7和Windows Server 2008及以上版本的系統(tǒng)中具有高級(jí)安全性能的Windows防火墻的概念。利用windows過(guò)濾平臺(tái)(WFP)，這些基于主機(jī)的防火墻能夠執(zhí)行高級(jí)防火墻只能，并且能夠在客戶端和主機(jī)間進(jìn)行端到端加密。事實(shí)上，在消除對(duì)網(wǎng)絡(luò)防火墻的要求方面，在所有內(nèi)網(wǎng)啟用Ipsec有很長(zhǎng)的路要走。并且隨著Ipv6開(kāi)始逐漸擴(kuò)大范圍，相信我們將看到對(duì)網(wǎng)絡(luò)防火墻投資的回升。

你覺(jué)得呢？這是否是網(wǎng)絡(luò)防火墻的末日？防火墻管理員是否應(yīng)該重新裝點(diǎn)他們的簡(jiǎn)歷或者重新學(xué)習(xí)更重要的技術(shù)，例如身份和房屋控制管理？或者網(wǎng)絡(luò)防火墻將永遠(yuǎn)存在？ 

【編輯推薦】

1. Websense TRITON統(tǒng)一內(nèi)容架構(gòu)保護(hù)數(shù)據(jù)安全
2. 銳捷網(wǎng)絡(luò)開(kāi)創(chuàng)云計(jì)算安全新格局 打造下一代防火墻
3. 云計(jì)算安全的五大顧慮
4. 認(rèn)識(shí)數(shù)據(jù)庫(kù)安全威脅　保護(hù)數(shù)據(jù)安全（1）
5. 盤點(diǎn)云計(jì)算安全5大缺陷