如果我說(shuō)：防火墻將退出IT舞臺(tái)。你會(huì)不會(huì)覺得有點(diǎn)信口開河?多年來(lái)，依靠SPI(全狀態(tài)數(shù)據(jù)包檢測(cè)型防火墻)與代理防火墻機(jī)制保障安全幾乎成了IT工作者們的金科玉律，脫離防火墻簡(jiǎn)直是無(wú)稽之談。但是時(shí)代在發(fā)展，一切都不同了，對(duì)于面向互聯(lián)網(wǎng)的大型服務(wù)器集群來(lái)說(shuō)，防火墻的加入不過(guò)是陡增多余的故障點(diǎn)。

服務(wù)器前端不設(shè)置防火墻并不意味著我們無(wú)法對(duì)系統(tǒng)接入加以控制?；蛟S你并不相信，關(guān)閉防火墻反而能在一定程度上提高網(wǎng)絡(luò)及主機(jī)安全的可靠性與堅(jiān)實(shí)性。下面，我們將從三個(gè)角度出發(fā)，論證為什么防火墻的退出能改善日常工作、幫助企業(yè)簡(jiǎn)化轉(zhuǎn)型難題。

“不要防火墻”并不意味著“不要控制”

服務(wù)器前端不設(shè)置防火墻并不意味著我們無(wú)法對(duì)系統(tǒng)接入加以控制。事實(shí)上，現(xiàn)代操作系統(tǒng)中早已普及了路由器訪問(wèn)列表、基于主機(jī)的內(nèi)置數(shù)據(jù)包過(guò)濾器等簡(jiǎn)單但可靠的技術(shù)，而這些機(jī)制完全能夠提供足夠的控制功能。邊緣路由器能夠很好地剔除異常數(shù)據(jù)包，同時(shí)幫助企業(yè)節(jié)約防火墻產(chǎn)品的開銷。如果一臺(tái)服務(wù)器僅監(jiān)聽443端口，那么它就應(yīng)該成為邊緣路由器的惟一開放端口并接收能通過(guò)服務(wù)器自身防火墻的訪問(wèn)請(qǐng)求。

另一種非常重要且有效的解決方案在于利用邊緣路由器控制出站連接。攻擊者必須與被攻破的主機(jī)進(jìn)行通信才能實(shí)施進(jìn)一步惡意活動(dòng)，如果主機(jī)無(wú)法建立出站連接，那么攻擊者也將無(wú)從下手。與互聯(lián)網(wǎng)對(duì)接的服務(wù)器應(yīng)該能與內(nèi)部服務(wù)器溝通DNS及NTP協(xié)議、從內(nèi)部補(bǔ)丁庫(kù)中下載補(bǔ)丁并向內(nèi)部日志服務(wù)器發(fā)送日志文件。然而一旦涉及對(duì)外服務(wù)，嚴(yán)密控制將使攻擊者無(wú)機(jī)可乘。即使大家的企業(yè)無(wú)法接受徹底脫離標(biāo)準(zhǔn)網(wǎng)絡(luò)防火墻的觀念，也應(yīng)將嚴(yán)格把控出站連接當(dāng)作防火墻設(shè)置工作的重點(diǎn)。

主機(jī)擁有充足的自保能力

防火墻可用于多種用途，而目前其最主要的預(yù)定目標(biāo)就是對(duì)孱弱或者糟糕的主機(jī)安全性提供支持。相比保護(hù)主機(jī)本身，很多系統(tǒng)管理者更樂于將系統(tǒng)隱藏在互聯(lián)網(wǎng)防火墻之下，并認(rèn)為一套狀態(tài)化防火墻能夠保護(hù)系統(tǒng)免受嚴(yán)重威脅。但我要遺憾地提醒大家，這種思路完全行不通。這種方案好比“掩耳盜鈴”。

系統(tǒng)管理者們是時(shí)候認(rèn)真了解自己的主機(jī)安全機(jī)制并啟用內(nèi)置隔離功能了，這樣服務(wù)器才能從坐以待斃的窘境中擺脫出來(lái)，以積極姿態(tài)應(yīng)對(duì)來(lái)自企業(yè)局域網(wǎng)或者外部互聯(lián)網(wǎng)的猛烈攻勢(shì)。每一種現(xiàn)代操作系統(tǒng)都提供多種訪問(wèn)控制方式，我們只要稍加配置就能使其生效。請(qǐng)記住，我們?cè)绞墙咏胍Ｗo(hù)的信息、安全工作就越容易開展。

應(yīng)對(duì)攻擊數(shù)據(jù)保護(hù)是根本

對(duì)主機(jī)失去控制令人頭痛，正如我們對(duì)正門上的涂鴉無(wú)可奈何一樣。無(wú)論惡意人士是從正門闖入還是網(wǎng)絡(luò)潛入，由此造成的數(shù)據(jù)丟失都屬于很嚴(yán)重的后果。事實(shí)上，無(wú)論防火墻是否存在，主機(jī)都有可能被攻破。因此保護(hù)重要信息的工作應(yīng)該從信息本身著手，而不能僅在周圍部署一些防御機(jī)制、然后坐等攻擊活動(dòng)發(fā)生。

為了實(shí)現(xiàn)這一目標(biāo)，我們需要采用合適的數(shù)據(jù)保護(hù)控制方案：加密、數(shù)據(jù)隱藏、歸檔甚至清除計(jì)劃任務(wù)中的臨時(shí)文件等。這一切都能降低主機(jī)被攻破后所引發(fā)的后續(xù)風(fēng)險(xiǎn)。如果被竊取的內(nèi)容并不重要或者攻擊者無(wú)法使用取得的信息，我們的企業(yè)也就不至于因?yàn)榘踩录巧闲侣勵(lì)^條、更不可能違規(guī)事故的責(zé)任承擔(dān)者。

除此之外，我們還應(yīng)妥善分隔系統(tǒng)與應(yīng)用程序管理流程中的職責(zé)與權(quán)限，盡量降低來(lái)自內(nèi)部人員的潛在風(fēng)險(xiǎn)。系統(tǒng)管理員與網(wǎng)絡(luò)管理員并不需要訪問(wèn)關(guān)鍵性業(yè)務(wù)數(shù)據(jù)的權(quán)限，應(yīng)用程序擁有者也不需要擁有與操作系統(tǒng)管理員等同的權(quán)限。大家一定還記得將美國(guó)國(guó)家安全局拉入泥潭的斯諾登——他的作為是否正確姑且不論，但如果安全局方面能明確劃分各崗位的具體權(quán)限，如今的麻煩也將不復(fù)存在。