當(dāng)筆者在幾年前參加TechEd會議時聽到有專家談?wù)?ldquo;DMZ的末日”，該話題吸引了很多人參與，并且激起了大家的很多爭論，大家都在討論是否仍然存在對防火墻的需求。在當(dāng)時，大家對于為什么在企業(yè)需要多個防火墻具有抵觸情緒并且反對這種做法。當(dāng)時的想法是，對存儲在網(wǎng)絡(luò)中信息的訪問控制最有效的方法就是在信息和想要訪問信息的人之間放置多個“障礙”。

當(dāng)時還是2004年，自那以后，計算環(huán)境已經(jīng)發(fā)生了很大變化，科技領(lǐng)域的變化速度比其他領(lǐng)域都要迅猛。隨后爭論的問題不僅是企業(yè)需要多少防火墻和DMZ區(qū)域，還包括企業(yè)應(yīng)該使用哪種類型的防火墻。企業(yè)是否應(yīng)該使用高通量狀態(tài)數(shù)據(jù)包檢測，還是只是防火墻?你是否需要應(yīng)用程序?qū)訖z查?目的是否是同時控制內(nèi)部和外部訪問?是否需要網(wǎng)絡(luò)級別的日志記錄和報告?哪個供應(yīng)商擁有最安全的防火墻?對于所有防火墻設(shè)備，你是否應(yīng)該選擇相同的供應(yīng)商?還是應(yīng)該選擇不同的供應(yīng)商?

云計算改變了一切

現(xiàn)在是2011年，而以上的討論早已“讓位”給當(dāng)時幾乎沒法設(shè)想的東西：關(guān)于云安全的考慮。業(yè)界很多人都預(yù)測2011年將是云的一年。隨著越來越多的企業(yè)將很多的信息和很多應(yīng)用程序轉(zhuǎn)移到云計算，云供應(yīng)商提供的安全水平成為熱門話題。企業(yè)在將他們的數(shù)據(jù)委托給企業(yè)網(wǎng)絡(luò)外的人之前，企業(yè)需要問清楚以下問題：

數(shù)據(jù)存儲在哪里?

是否進(jìn)行了磁盤加密?

什么是數(shù)據(jù)持續(xù)性的性質(zhì)?

對數(shù)據(jù)進(jìn)行了哪些訪問控制?

云應(yīng)用程序進(jìn)行了哪些安全測試?

云應(yīng)用程序多久進(jìn)行一次更新?

使用了怎樣的取證方法?是否部署了有效的事件響應(yīng)計劃?

幾乎對于所有云供應(yīng)商而言，都很難回答清楚以上問題。微軟、亞馬遜、谷歌和IBM對于云安全措施的細(xì)節(jié)都沒有完全透明化，不過這也很合情理，因為攻擊者越少知道他們的安全策略，攻擊者就越難滲透這些控制。然而，如果你深度挖掘，你可以找到一些關(guān)于他們采取的安全策略的信息，并且你會發(fā)現(xiàn)關(guān)于云安全討論的有趣事實：關(guān)于使用了哪些防火墻或者是否在云數(shù)據(jù)庫中心使用了防火墻等問題的答案。

你不禁想知道為什么是這樣的情況?尤其是在經(jīng)過數(shù)十年針對防火墻以及防火墻在網(wǎng)絡(luò)中發(fā)揮的多個關(guān)鍵作用問題的討論后。也許是因為“隨時隨地訪問網(wǎng)絡(luò)”理念的升溫，企業(yè)希望員工能夠在他們需要的時候通過任何設(shè)備從任何地點在任何時間訪問數(shù)據(jù)，而IT安全專家則意識到他們的防火墻實際作用已經(jīng)越來越小，而頂多是使用防火墻通過防止授權(quán)流量訪問互聯(lián)網(wǎng)來減少內(nèi)網(wǎng)整體流量。

云計算和分布式數(shù)據(jù)可以放在多個地點和多種設(shè)備上的性質(zhì)讓我們意識到在可預(yù)見的未來，安全的“成功道路”很可能不是基于防火墻的策略。在20世界第二個十年開始時，數(shù)據(jù)的高度移動本質(zhì)意味著，采用基于防火墻的方法來進(jìn)行數(shù)據(jù)保護(hù)絕對是虧本生意。數(shù)據(jù)需要在其位置進(jìn)行保護(hù)。

DMZ真的有好處嗎?

當(dāng)你考慮在大多數(shù)環(huán)境部署DMZ的問題時，你不得不承認(rèn)，它們只會讓網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)變得更加復(fù)雜，并且增加防火墻管理員的工作。DMZ被用來分離面向互聯(lián)網(wǎng)設(shè)備與企業(yè)內(nèi)網(wǎng)，也許這種方法存在一定的安全優(yōu)勢，但是問題是，前端防火墻允許對聲稱“不安全的”服務(wù)的訪問，而后端防火墻允許這種相同的流量接入內(nèi)網(wǎng)。這種配置的實際安全優(yōu)勢是什么?你可以說，“垃圾流量”從面向互聯(lián)網(wǎng)設(shè)備卸下了，但是這些防火墻真的可以“保護(hù)”網(wǎng)絡(luò)嗎?答案是在大多數(shù)情況下它們不能保護(hù)，并且所有的防火墻基礎(chǔ)設(shè)施最終結(jié)果就是讓整個網(wǎng)絡(luò)安全管理更加復(fù)雜，以及增加業(yè)務(wù)整體成本。

此外，對數(shù)據(jù)安全采取的基于網(wǎng)絡(luò)的防火墻方法忽略了一個關(guān)鍵事實：大多數(shù)重大的安全泄漏事故都是由于內(nèi)部人員共計。最近的維基百科安全災(zāi)難就是因為內(nèi)部人員共計，并且研究表明，很多最重大和損失最打的網(wǎng)絡(luò)破壞事件都是因為內(nèi)部人員攻擊。

RSA在2009年的報告表示，內(nèi)部人員是比攻擊者更大的威脅。

并且2010年Verizon數(shù)據(jù)泄漏報告顯示，內(nèi)部人員泄漏事故正在上升。

在網(wǎng)絡(luò)邊緣的DMZ和網(wǎng)絡(luò)防火墻在阻止這些讓企業(yè)處于最大危險之中的高威脅的攻擊方面毫無作為。

出站訪問控制

出站訪問控制如何呢?網(wǎng)絡(luò)防火墻是否有所作為?出站訪問控制方面，網(wǎng)絡(luò)防火墻主要有以下表現(xiàn)：

它們可以防止接近零日攻擊

它們可以通過執(zhí)行URL過濾和網(wǎng)絡(luò)反惡意軟件檢測來減少互聯(lián)網(wǎng)的“攻擊面”

它們可以進(jìn)行出站SSL檢查所以惡意軟件無法隱藏在SSL通道來向互聯(lián)網(wǎng)的控制器發(fā)送企業(yè)信息

但是，在出站訪問控制方面，防火墻面臨的挑戰(zhàn)就是并不是所有訪問企業(yè)數(shù)據(jù)的設(shè)備都符合企業(yè)網(wǎng)絡(luò)訪問政策。當(dāng)然，當(dāng)員工的筆記本在內(nèi)網(wǎng)中，一切都很好，并且他們的互聯(lián)網(wǎng)訪問被鎖定，很安全。但是，如果員工出差了，筆記本連接到企業(yè)網(wǎng)絡(luò)訪問控制不能控制的網(wǎng)絡(luò)呢?然后該員工又回到內(nèi)網(wǎng)，又將他在外部網(wǎng)絡(luò)的東西分享到內(nèi)網(wǎng)。在這種情況下(這對于大多數(shù)公司都很常見)，企業(yè)出站訪問控制防火墻無法控制這種問題。

解決方案是什么?

因為云計算的出現(xiàn)，越來越多的設(shè)備開始可以訪問數(shù)據(jù)，數(shù)據(jù)可以放置的地點也越來越多，企業(yè)應(yīng)該將重點放在保護(hù)數(shù)據(jù)本身而不是網(wǎng)絡(luò)防火墻上。同時，企業(yè)需要部署更先進(jìn)的方法來進(jìn)行訪問控制以及數(shù)據(jù)訪問報告。另外，需要將保護(hù)文件本身作為機(jī)制部署，那樣只有授權(quán)人員才可以訪問數(shù)據(jù)，無論文件保存在哪里。

ACL需要變得更加靈活和更加全面，比起我們現(xiàn)在使用的基于用戶/組的方法。你需要以一種更加現(xiàn)實的方式來評估用戶，包括以下標(biāo)準(zhǔn)：

用戶是員工還是承包商?

如果是員工，是專職還是兼職?

用戶是特定項目組成員嗎?

用戶是否被分配到某個安全分類?

用戶是否暫?；蛘唠x開?

這些標(biāo)準(zhǔn)和其他用戶特征比用戶屬于哪個“組群”更有價值，并且你應(yīng)該能夠設(shè)置訪問政策以滿足實際需要。

上面所述是良好的開始，但是初步評估和授權(quán)只是剛開始。當(dāng)數(shù)據(jù)從原地址轉(zhuǎn)移出去后，必須對其進(jìn)行安全保護(hù)，不管數(shù)據(jù)被轉(zhuǎn)移到哪里。這也是為什么權(quán)限管理服務(wù)(RMS)重要的原因，事實上，如果權(quán)限管理被應(yīng)用到維基百科穩(wěn)當(dāng)，很有可能就不會發(fā)生那樣的災(zāi)難。

防火墻是否會退出歷史舞臺?

在這一點上，你一定會覺得奇怪：防火墻會怎么發(fā)展?我們是否應(yīng)該摒棄防火墻?是不是浪費了花費在學(xué)習(xí)防火墻上的時間呢?事實上，防火墻并不會退出歷史穩(wěn)態(tài)，但是像其他引領(lǐng)你成功的安全方法一樣，防火墻安全技術(shù)需要更加貼近信息保存的地點?，F(xiàn)代計算機(jī)處理器的力量有能力在每個客戶端系統(tǒng)裝上復(fù)雜的防火墻，事實上，這正是Windows 7和Windows Server 2008及以上版本的系統(tǒng)中具有高級安全性能的Windows防火墻的概念。利用windows過濾平臺(WFP)，這些基于主機(jī)的防火墻能夠執(zhí)行高級防火墻只能，并且能夠在客戶端和主機(jī)間進(jìn)行端到端加密。事實上，在消除對網(wǎng)絡(luò)防火墻的要求方面，在所有內(nèi)網(wǎng)啟用Ipsec有很長的路要走。并且隨著Ipv6開始逐漸擴(kuò)大范圍，相信我們將看到對網(wǎng)絡(luò)防火墻投資的回升。

你覺得呢?這是否是網(wǎng)絡(luò)防火墻的末日?防火墻管理員是否應(yīng)該重新裝點他們的簡歷或者重新學(xué)習(xí)更重要的技術(shù)，例如身份和房屋控制管理?或者網(wǎng)絡(luò)防火墻將永遠(yuǎn)存在?

【編輯推薦】

1. 梭子魚防火墻有力保障機(jī)場用戶的郵件安全
2. 網(wǎng)絡(luò)安全之防火墻安全管理不容忽視
3. 假“暴雪戰(zhàn)網(wǎng)”現(xiàn)身網(wǎng)絡(luò) 瑞星防火墻即刻封殺
4. 走出WEB應(yīng)用防火墻認(rèn)識誤區(qū)之技術(shù)篇
5. 安全管理不容忽視——防火墻常見錯誤