只有當防火墻能夠顯著減少風險,并且你能認識到它們會引發擴展性和可用性問題時,才使用防火墻。適用情形:無論何時都適用。只對遵從PI和PCI等法規的重要數據采用防火墻。對價值低的靜態數據,不要采用防火墻。防火墻會降低可用性,造成不必要的護展瓶頸。雖然防火墻很有用,但它們通常會被濫用,如果設計或實施不當,可用性和擴展性都會受影響。
決定采用哪種安全措施最終應該從利潤大化的方面考慮。通常安全措施只是減少風險的一種方法。而風險則是發生某個動作且該動作會造成影響或損害的可能性。防火墻通過減小事件發生的可能性來降低風險。采用防火墻會有些額外的開支,對可用性也會有一定的影響(從而也會影響到收益和客戶滿意度),通常還會影響擴展性,在網絡流量或事務數量方面造成擴展瓶頸。遺憾的是,許多公司都把防火墻看作唯一的安全手段。他們濫用防火墻,卻沒有充分利用其他更安全的措施。
關于防火墻對可用性的影響,我們不能輕描淡寫一筆帶過。根據我們的經驗,造成站點故障停工的首要原因是數據庫故障,其次就是防火墻故障。同同樣地,這個原則就是要減少防火墻的數量。但是要記住,在你減少不必要的或多余的防火墻的同時,還有很多其他關系到安全性的事情要做。根據我們的經驗,應把防火墻看做一種周邊安全設備。也就是說,它會增加產品的感知成本和實際成本。就這一點而言,防火墻的功能與房間的門鎖相似。事實上,我們]認為房子這個比喻很適合說明如何看待防火墻,所以下面就以這個比喻為基礎進行說明
在你的房子中,有幾塊區域很可能沒有上鎖。例如,你可能不會給前院上鎖,還可能會把一些相對較廉價的東西放在前院里,如澆水的軟管和園藝工具。你還可能會把自行車放在前院中,雖然你知道把它放在車庫中,賊更不容易偷走它。更有可能,你給后門也上了鎖,甚至還有門栓,浴室和臥室可能也有小型的隱私鎖。而房子的其他房間,包括衣櫥等,可能都沒有鎖。為什么要區別對待不同的區域呢?
房子室外的區域,雖然對你來說很有價值,但對別人來說,卻沒有值得偷竊的價值。即使你很重視自己的前院,但是也不會認為有人愿意拿著鐵锨來把它挖走,移到別處去。你可能會擔心有人騎車壓過它,破壞了草坪或花酒頭,但這種擔心還不足以讓你花錢用柵欄(并非裝飾性的那種)把它圍起來,破壞了自己和鄰居的良好視野。
室內安裝鎖的目的只是為了保護隱私。大多數室內的門并沒有為了防止好奇者的窺視而裝鎖。我們并沒有給大多數的室內門上鎖或門栓,因為它們只會給我們帶來麻煩,這些鎖帶來的安全感還抵消不了它們造成的麻煩。
現在想想你的產品。有些方面的內容,如靜態圖像、CSs文件、Javascript文件等,它們對你來說雖很重要,但并不需要高端的安全措施。在許多情況中,都是通過外部網絡的邊緣緩存(或內容分發網絡)來傳輸這些屬性的。同樣地,不應該讓這些對象再經過額外的關節(防火墻)來降低全局可用性,由于額外的網絡瓶頸限制了擴展性。確保通過私有IP地址和端口80與443傳遞這些對象,這不僅可以節省成本還能減少防火墻的負載。
再回頭看看防火墻的價值和成本,讓我們研究一個體系,利用該體系,可以決定何時何地應該實施防火墻。我們已經介紹過,防火墻會讓我們付出以下的代價,即購買防火墻的建設成本。有了防火墻,還要對它進行額外的擴展,而上且它在事務的關鍵路線上增加了設備,有可能出故障或引發問題,從而對可用性也造成了影響。我們也介紹過防火墻的價值,即它可以阻止或者妨礙那些想偷竊或者損害我們產品的行為。
首先是數據對攻擊者的價值與實施防火墻的成本基本上成反比。雖然兩者關系并非總是如此,但對我們許多客戶的產品來說確實如此。靜態對象引用是頁面上的主要對象請求,通常也是頁面上最多的元素。因此,隨著事務處理速度和吞吐量的增加,防火墻的成本會增加。在你想到它們對攻擊者來說毫無價值時,就會覺得防火墻更貴。考慮到防火墻會對可用性產生的影響以及購買防火墻的成本,而這種數據又不是攻擊者的主要目標所以該種數據不值得如此投咨。對干這種數口要F保它們使用的是私有IP空間(如10.X.Y.Z),并且只有通過端口80和443的請求才能訪問它們即可。
不過,另一方面,我們還有諸如信用卡號、銀行賬戶信息和社會保障編碼這樣的數據。這些數據對攻擊者具有很高的價值。保護這種數據的成本相對于保護其他對象來說較低,因為它們的請求頻率比其他對象低。這種對象,我們絕對應該鎖定。
對于我們的平臺所服務的其他請求,沒有必要確保所有的客戶搜索都經過防火墻。那么我們保護什么,服務器自身嗎?我們可以保護自己的資產,通過包過濾、路由器和運營商關系等,使它們免于受到分布式拒絕服務之類的攻擊。利用限制訪問系統的端口的方式可能會失敗。如果攻擊者對這些服務并沒有極大興趣,那么我們也沒有必要把它當作皇冠上的珠寶,花費大量的金錢,以降低可用性為代價來保護它們。
簡而言之,不要假設所有數據都需要同等級別的保護。是否采用
網站設計防火墻是一項商業決定,該決定要能夠在犧牲可用性增加成本的情況下降低風險。太多公司把防火墻看作一元的決定,即如果我們的站點有防火墻,那么所有請求都要經過防火墻,但事實是,防火墻只是眾多用于降低風險的工具之一。在你的產品中,并非所有數據都值得通過增加成本及犧牲可用性來保護。與其他任何一項商業決定一樣,是否采用防火墻也需要權衡,而不是在實施中采用千篇一律的方法。考慮到防火墻的特性,從產品的擴展方面來看,它很容易成為大的瓶頸。
分享題目:防火墻,到處都是防火墻
網頁網址:http://m.newbst.com/news7/142907.html
成都網站建設公司_創新互聯,為您提供網站制作、自適應網站、小程序開發、定制網站、企業建站、關鍵詞優化
廣告
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源:
創新互聯