网络防火墙的末日真的来了吗？

导言

当笔者在几年前参加TechEd会议时听到有专家谈论“DMZ的末日”，该话题吸引了很多人参与，并且激起了大家的很多争论，大家都在讨论是否仍然存在对防火墙的需求。在当时，大家对于为什么在企业需要多个防火墙具有抵触情绪并且反对这种做法。当时的想法是，对存储在网络中信息的访问控制最有效的方法就是在信息和想要访问信息的人之间放置多个“障碍”。

当时还是2004年，自那以后，计算环境已经发生了很大变化，科技领域的变化速度比其他领域都要迅猛。随后争论的问题不仅是企业需要多少防火墙和DMZ区域，还包括企业应该使用哪种类型的防火墙。企业是否应该使用高通量状态数据包检测，还是只是防火墙？你是否需要应用程序层检查？目的是否是同时控制内部和外部访问？是否需要网络级别的日志记录和报告？哪个供应商拥有最安全的防火墙？对于所有防火墙设备，你是否应该选择相同的供应商？还是应该选择不同的供应商？

云计算改变了一切

现在是2011年，而以上的讨论早已“让位”给当时几乎没法设想的东西：关于云安全的考虑。业界很多人都预测2011年将是云的一年。随着越来越多的企业将很多的信息和很多应用程序转移到云计算，云供应商提供的安全水平成为热门话题。企业在将他们的数据委托给企业网络外的人之前，企业需要问清楚以下问题：

数据存储在哪里？

是否进行了磁盘加密？

什么是数据持续性的性质？

对数据进行了哪些访问控制？

云应用程序进行了哪些安全测试？

云应用程序多久进行一次更新？

使用了怎样的取证方法？是否部署了有效的事件响应计划？

几乎对于所有云供应商而言，都很难回答清楚以上问题。微软、亚马逊、谷歌和IBM对于云安全措施的细节都没有完全透明化，不过这也很合情理，因为攻击者越少知道他们的安全策略，攻击者就越难渗透这些控制。然而，如果你深度挖掘，你可以找到一些关于他们采取的安全策略的信息，并且你会发现关于云安全讨论的有趣事实：关于使用了哪些防火墙或者是否在云数据库中心使用了防火墙等问题的答案。

你不禁想知道为什么是这样的情况？尤其是在经过数十年针对防火墙以及防火墙在网络中发挥的多个关键作用问题的讨论后。也许是因为“随时随地访问网络”理念的升温，企业希望员工能够在他们需要的时候通过任何设备从任何地点在任何时间访问数据，而IT安全专家则意识到他们的防火墙实际作用已经越来越小，而顶多是使用防火墙通过防止授权流量访问互联网来减少内网整体流量。

云计算和分布式数据可以放在多个地点和多种设备上的性质让我们意识到在可预见的未来，安全的“成功道路”很可能不是基于防火墙的策略。在20世界第二个十年开始时，数据的高度移动本质意味着，采用基于防火墙的方法来进行数据保护绝对是亏本生意。数据需要在其位置进行保护。

DMZ真的有好处吗？

当你考虑在大多数环境部署DMZ的问题时，你不得不承认，它们只会让网络安全基础架构变得更加复杂，并且增加防火墙管理员的工作。DMZ被用来分离面向互联网设备与企业内网，也许这种方法存在一定的安全优势，但是问题是，前端防火墙允许对声称“不安全的”服务的访问，而后端防火墙允许这种相同的流量接入内网。这种配置的实际安全优势是什么？你可以说，“垃圾流量”从面向互联网设备卸下了，但是这些防火墙真的可以“保护”网络吗？答案是在大多数情况下它们不能保护，并且所有的防火墙基础设施最终结果就是让整个网络安全管理更加复杂，以及增加业务整体成本。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友