网络防火墙已走到尽头？

网络防火墙是否已经走到了尽头？当笔者在几年前参加TechEd会议时听到有专家谈论“DMZ的末日”，该话题吸引了很多人参与，并且激起了大家的很多争论，大家都在讨论是否仍然存在对防火墙的需求。在当时，大家对于为什么在企业需要多个防火墙具有抵触情绪并且反对这种做法。当时的想法是，对存储在网络中信息的访问控制最有效的方法就是在信息和想要访问信息的人之间放置多个“障碍”。

当时还是2004年，自那以后，计算环境已经发生了很大变化，科技领域的变化速度比其他领域都要迅猛。随后争论的问题不仅是企业需要多少防火墙和DMZ区域，还包括企业应该使用哪种类型的防火墙。企业是否应该使用高通量状态数据包检测，还是只是防火墙？你是否需要应用程序层检查？目的是否是同时控制内部和外部访问？是否需要网络级别的日志记录和报告？哪个供应商拥有最安全的防火墙？对于所有防火墙设备，你是否应该选择相同的供应商？还是应该选择不同的供应商？

云计算改变了一切

现在是2011年，而以上的讨论早已“让位”给当时几乎没法设想的东西：关于云安全的考虑。业界很多人都预测2011年将是云的一年。随着越来越多的企业将很多的信息和很多应用程序转移到云计算，云供应商提供的安全水平成为热门话题。企业在将他们的数据委托给企业网络外的人之前，企业需要问清楚以下问题：

数据存储在哪里？

是否进行了磁盘加密？

什么是数据持续性的性质？

对数据进行了哪些访问控制？

云应用程序进行了哪些安全测试？

云应用程序多久进行一次更新？

使用了怎样的取证方法？是否部署了有效的事件响应计划？

几乎对于所有云供应商而言，都很难回答清楚以上问题。微软、亚马逊、谷歌和IBM对于云安全措施的细节都没有完全透明化，不过这也很合情理，因为攻击者越少知道他们的安全策略，攻击者就越难渗透这些控制。然而，如果你深度挖掘，你可以找到一些关于他们采取的安全策略的信息，并且你会发现关于云安全讨论的有趣事实：关于使用了哪些防火墙或者是否在云数据库中心使用了防火墙等问题的答案。

你不禁想知道为什么是这样的情况？尤其是在经过数十年针对防火墙以及防火墙在网络中发挥的多个关键作用问题的讨论后。也许是因为“随时随地访问网络”理念的升温，企业希望员工能够在他们需要的时候通过任何设备从任何地点在任何时间访问数据，而IT安全专家则意识到他们的防火墙实际作用已经越来越小，而顶多是使用防火墙通过防止授权流量访问互联网来减少内网整体流量。

云计算和分布式数据可以放在多个地点和多种设备上的性质让我们意识到在可预见的未来，安全的“成功道路”很可能不是基于防火墙的策略。在20世界第二个十年开始时，数据的高度移动本质意味着，采用基于防火墙的方法来进行数据保护绝对是亏本生意。数据需要在其位置进行保护。

DMZ真的有好处吗？

当你考虑在大多数环境部署DMZ的问题时，你不得不承认，它们只会让网络安全基础架构变得更加复杂，并且增加防火墙管理员的工作。DMZ被用来分离面向互联网设备与企业内网，也许这种方法存在一定的安全优势，但是问题是，前端防火墙允许对声称“不安全的”服务的访问，而后端防火墙允许这种相同的流量接入内网。这种配置的实际安全优势是什么？你可以说，“垃圾流量”从面向互联网设备卸下了，但是这些防火墙真的可以“保护”网络吗？答案是在大多数情况下它们不能保护，并且所有的防火墙基础设施最终结果就是让整个网络安全管理更加复杂，以及增加业务整体成本。

此外，对数据安全采取的基于网络的防火墙方法忽略了一个关键事实：大多数重大的安全泄漏事故都是由于内部人员共计。最近的维基百科安全灾难就是因为内部人员共计，并且研究表明，很多最重大和损失最打的网络破坏事件都是因为内部人员攻击。

RSA在2009年的报告表示，内部人员是比攻击者更大的威胁。

并且2010年Verizon数据泄漏报告显示，内部人员泄漏事故正在上升。

在网络边缘的DMZ和网络防火墙在阻止这些让企业处于最大危险之中的高威胁的攻击方面毫无作为。

出站访问控制

出站访问控制如何呢？网络防火墙是否有所作为？出站访问控制方面，网络防火墙主要有以下表现：

它们可以防止接近零日攻击

它们可以通过执行URL过滤和网络反恶意软件检测来减少互联网的“攻击面”

它们可以进行出站SSL检查所以恶意软件无法隐藏在SSL通道来向互联网的控制器发送企业信息

但是，在出站访问控制方面，防火墙面临的挑战就是并不是所有访问企业数据的设备都符合企业网络访问政策。当然，当员工的笔记本在内网中，一切都很好，并且他们的互联网访问被锁定，很安全。但是，如果员工出差了，笔记本连接到企业网络访问控制不能控制的网络呢？然后该员工又回到内网，又将他在外部网络的东西分享到内网。在这种情况下(这对于大多数公司都很常见)，企业出站访问控制防火墙无法控制这种问题。

解决方案是什么？

因为云计算的出现，越来越多的设备开始可以访问数据，数据可以放置的地点也越来越多，企业应该将重点放在保护数据本身而不是网络防火墙上。同时，企业需要部署更先进的方法来进行访问控制以及数据访问报告。另外，需要将保护文件本身作为机制部署，那样只有授权人员才可以访问数据，无论文件保存在哪里。

ACL需要变得更加灵活和更加全面，比起我们现在使用的基于用户/组的方法。你需要以一种更加现实的方式来评估用户，包括以下标准：

用户是员工还是承包商？

如果是员工，是专职还是兼职？

用户是特定项目组成员吗？

用户是否被分配到某个安全分类？

用户是否暂停或者离开？

这些标准和其他用户特征比用户属于哪个“组群”更有价值，并且你应该能够设置访问政策以满足实际需要。

上面所述是良好的开始，但是初步评估和授权只是刚开始。当数据从原地址转移出去后，必须对其进行安全保护，不管数据被转移到哪里。这也是为什么权限管理服务(RMS)重要的原因，事实上，如果权限管理被应用到维基百科稳当，很有可能就不会发生那样的灾难。

防火墙是否会退出历史舞台？

在这一点上，你一定会觉得奇怪：防火墙会怎么发展？我们是否应该摒弃防火墙？是不是浪费了花费在学习防火墙上的时间呢？事实上，防火墙并不会退出历史稳态，但是像其他引领你成功的安全方法一样，防火墙安全技术需要更加贴近信息保存的地点。现代计算机处理器的力量有能力在每个客户端系统装上复杂的防火墙，事实上，这正是Windows 7和Windows Server 2008及以上版本的系统中具有高级安全性能的Windows防火墙的概念。利用windows过滤平台(WFP)，这些基于主机的防火墙能够执行高级防火墙只能，并且能够在客户端和主机间进行端到端加密。事实上，在消除对网络防火墙的要求方面，在所有内网启用Ipsec有很长的路要走。并且随着Ipv6开始逐渐扩大范围，相信我们将看到对网络防火墙投资的回升。

你觉得呢？这是否是网络防火墙的末日？防火墙管理员是否应该重新装点他们的简历或者重新学习更重要的技术，例如身份和房屋控制管理？或者网络防火墙将永远存在？

【编辑推荐】