日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

網(wǎng)絡防火墻是否已經(jīng)走到了盡頭？當筆者在幾年前參加TechEd會議時聽到有專家談論“DMZ的末日”，該話題吸引了很多人參與，并且激起了大家的很多爭論，大家都在討論是否仍然存在對防火墻的需求。在當時，大家對于為什么在企業(yè)需要多個防火墻具有抵觸情緒并且反對這種做法。當時的想法是，對存儲在網(wǎng)絡中信息的訪問控制最有效的方法就是在信息和想要訪問信息的人之間放置多個“障礙”。

當時還是2004年，自那以后，計算環(huán)境已經(jīng)發(fā)生了很大變化，科技領域的變化速度比其他領域都要迅猛。隨后爭論的問題不僅是企業(yè)需要多少防火墻和DMZ區(qū)域，還包括企業(yè)應該使用哪種類型的防火墻。企業(yè)是否應該使用高通量狀態(tài)數(shù)據(jù)包檢測，還是只是防火墻？你是否需要應用程序層檢查？目的是否是同時控制內(nèi)部和外部訪問？是否需要網(wǎng)絡級別的日志記錄和報告？哪個供應商擁有最安全的防火墻？對于所有防火墻設備，你是否應該選擇相同的供應商？還是應該選擇不同的供應商？

云計算改變了一切

現(xiàn)在是2011年，而以上的討論早已“讓位”給當時幾乎沒法設想的東西：關于云安全的考慮。業(yè)界很多人都預測2011年將是云的一年。隨著越來越多的企業(yè)將很多的信息和很多應用程序轉移到云計算，云供應商提供的安全水平成為熱門話題。企業(yè)在將他們的數(shù)據(jù)委托給企業(yè)網(wǎng)絡外的人之前，企業(yè)需要問清楚以下問題：

數(shù)據(jù)存儲在哪里？

是否進行了磁盤加密？

什么是數(shù)據(jù)持續(xù)性的性質？

對數(shù)據(jù)進行了哪些訪問控制？

云應用程序進行了哪些安全測試？

云應用程序多久進行一次更新？

使用了怎樣的取證方法？是否部署了有效的事件響應計劃？

幾乎對于所有云供應商而言，都很難回答清楚以上問題。微軟、亞馬遜、谷歌和IBM對于云安全措施的細節(jié)都沒有完全透明化，不過這也很合情理，因為攻擊者越少知道他們的安全策略，攻擊者就越難滲透這些控制。然而，如果你深度挖掘，你可以找到一些關于他們采取的安全策略的信息，并且你會發(fā)現(xiàn)關于云安全討論的有趣事實：關于使用了哪些防火墻或者是否在云數(shù)據(jù)庫中心使用了防火墻等問題的答案。

你不禁想知道為什么是這樣的情況？尤其是在經(jīng)過數(shù)十年針對防火墻以及防火墻在網(wǎng)絡中發(fā)揮的多個關鍵作用問題的討論后。也許是因為“隨時隨地訪問網(wǎng)絡”理念的升溫，企業(yè)希望員工能夠在他們需要的時候通過任何設備從任何地點在任何時間訪問數(shù)據(jù)，而IT安全專家則意識到他們的防火墻實際作用已經(jīng)越來越小，而頂多是使用防火墻通過防止授權流量訪問互聯(lián)網(wǎng)來減少內(nèi)網(wǎng)整體流量。

云計算和分布式數(shù)據(jù)可以放在多個地點和多種設備上的性質讓我們意識到在可預見的未來，安全的“成功道路”很可能不是基于防火墻的策略。在20世界第二個十年開始時，數(shù)據(jù)的高度移動本質意味著，采用基于防火墻的方法來進行數(shù)據(jù)保護絕對是虧本生意。數(shù)據(jù)需要在其位置進行保護。

DMZ真的有好處嗎？

當你考慮在大多數(shù)環(huán)境部署DMZ的問題時，你不得不承認，它們只會讓網(wǎng)絡安全基礎架構變得更加復雜，并且增加防火墻管理員的工作。DMZ被用來分離面向互聯(lián)網(wǎng)設備與企業(yè)內(nèi)網(wǎng)，也許這種方法存在一定的安全優(yōu)勢，但是問題是，前端防火墻允許對聲稱“不安全的”服務的訪問，而后端防火墻允許這種相同的流量接入內(nèi)網(wǎng)。這種配置的實際安全優(yōu)勢是什么？你可以說，“垃圾流量”從面向互聯(lián)網(wǎng)設備卸下了，但是這些防火墻真的可以“保護”網(wǎng)絡嗎？答案是在大多數(shù)情況下它們不能保護，并且所有的防火墻基礎設施最終結果就是讓整個網(wǎng)絡安全管理更加復雜，以及增加業(yè)務整體成本。

此外，對數(shù)據(jù)安全采取的基于網(wǎng)絡的防火墻方法忽略了一個關鍵事實：大多數(shù)重大的安全泄漏事故都是由于內(nèi)部人員共計。最近的維基百科安全災難就是因為內(nèi)部人員共計，并且研究表明，很多最重大和損失最打的網(wǎng)絡破壞事件都是因為內(nèi)部人員攻擊。

RSA在2009年的報告表示，內(nèi)部人員是比攻擊者更大的威脅。

并且2010年Verizon數(shù)據(jù)泄漏報告顯示，內(nèi)部人員泄漏事故正在上升。

在網(wǎng)絡邊緣的DMZ和網(wǎng)絡防火墻在阻止這些讓企業(yè)處于最大危險之中的高威脅的攻擊方面毫無作為。

出站訪問控制

出站訪問控制如何呢？網(wǎng)絡防火墻是否有所作為？出站訪問控制方面，網(wǎng)絡防火墻主要有以下表現(xiàn)：

它們可以防止接近零日攻擊

它們可以通過執(zhí)行URL過濾和網(wǎng)絡反惡意軟件檢測來減少互聯(lián)網(wǎng)的“攻擊面”

它們可以進行出站SSL檢查所以惡意軟件無法隱藏在SSL通道來向互聯(lián)網(wǎng)的控制器發(fā)送企業(yè)信息

但是，在出站訪問控制方面，防火墻面臨的挑戰(zhàn)就是并不是所有訪問企業(yè)數(shù)據(jù)的設備都符合企業(yè)網(wǎng)絡訪問政策。當然，當員工的筆記本在內(nèi)網(wǎng)中，一切都很好，并且他們的互聯(lián)網(wǎng)訪問被鎖定，很安全。但是，如果員工出差了，筆記本連接到企業(yè)網(wǎng)絡訪問控制不能控制的網(wǎng)絡呢？然后該員工又回到內(nèi)網(wǎng)，又將他在外部網(wǎng)絡的東西分享到內(nèi)網(wǎng)。在這種情況下(這對于大多數(shù)公司都很常見)，企業(yè)出站訪問控制防火墻無法控制這種問題。

解決方案是什么？

因為云計算的出現(xiàn)，越來越多的設備開始可以訪問數(shù)據(jù)，數(shù)據(jù)可以放置的地點也越來越多，企業(yè)應該將重點放在保護數(shù)據(jù)本身而不是網(wǎng)絡防火墻上。同時，企業(yè)需要部署更先進的方法來進行訪問控制以及數(shù)據(jù)訪問報告。另外，需要將保護文件本身作為機制部署，那樣只有授權人員才可以訪問數(shù)據(jù)，無論文件保存在哪里。

ACL需要變得更加靈活和更加全面，比起我們現(xiàn)在使用的基于用戶/組的方法。你需要以一種更加現(xiàn)實的方式來評估用戶，包括以下標準：

用戶是員工還是承包商？

如果是員工，是專職還是兼職？

用戶是特定項目組成員嗎？

用戶是否被分配到某個安全分類？

用戶是否暫停或者離開？

這些標準和其他用戶特征比用戶屬于哪個“組群”更有價值，并且你應該能夠設置訪問政策以滿足實際需要。

上面所述是良好的開始，但是初步評估和授權只是剛開始。當數(shù)據(jù)從原地址轉移出去后，必須對其進行安全保護，不管數(shù)據(jù)被轉移到哪里。這也是為什么權限管理服務(RMS)重要的原因，事實上，如果權限管理被應用到維基百科穩(wěn)當，很有可能就不會發(fā)生那樣的災難。

防火墻是否會退出歷史舞臺？

在這一點上，你一定會覺得奇怪：防火墻會怎么發(fā)展？我們是否應該摒棄防火墻？是不是浪費了花費在學習防火墻上的時間呢？事實上，防火墻并不會退出歷史穩(wěn)態(tài)，但是像其他引領你成功的安全方法一樣，防火墻安全技術需要更加貼近信息保存的地點?，F(xiàn)代計算機處理器的力量有能力在每個客戶端系統(tǒng)裝上復雜的防火墻，事實上，這正是Windows 7和Windows Server 2008及以上版本的系統(tǒng)中具有高級安全性能的Windows防火墻的概念。利用windows過濾平臺(WFP)，這些基于主機的防火墻能夠執(zhí)行高級防火墻只能，并且能夠在客戶端和主機間進行端到端加密。事實上，在消除對網(wǎng)絡防火墻的要求方面，在所有內(nèi)網(wǎng)啟用Ipsec有很長的路要走。并且隨著Ipv6開始逐漸擴大范圍，相信我們將看到對網(wǎng)絡防火墻投資的回升。

你覺得呢？這是否是網(wǎng)絡防火墻的末日？防火墻管理員是否應該重新裝點他們的簡歷或者重新學習更重要的技術，例如身份和房屋控制管理？或者網(wǎng)絡防火墻將永遠存在？ 

【編輯推薦】

1. Websense TRITON統(tǒng)一內(nèi)容架構保護數(shù)據(jù)安全
2. 銳捷網(wǎng)絡開創(chuàng)云計算安全新格局 打造下一代防火墻
3. 云計算安全的五大顧慮
4. 認識數(shù)據(jù)庫安全威脅　保護數(shù)據(jù)安全（1）
5. 盤點云計算安全5大缺陷

網(wǎng)站題目：網(wǎng)絡防火墻已走到盡頭？
當前網(wǎng)址：http://m.5511xx.com/article/dpogehp.html