只有當防火墻能夠顯著減少風險，并且你能認識到它們會引發(fā)擴展性和可用性問題時，才使用防火墻。適用情形:無論何時都適用。只對遵從PI和PCI等法規(guī)的重要數據采用防火墻。對價值低的靜態(tài)數據，不要采用防火墻。防火墻會降低可用性，造成不必要的護展瓶頸。雖然防火墻很有用，但它們通常會被濫用，如果設計或實施不當，可用性和擴展性都會受影響。
決定采用哪種安全措施最終應該從利潤大化的方面考慮。通常安全措施只是減少風險的一種方法。而風險則是發(fā)生某個動作且該動作會造成影響或損害的可能性。防火墻通過減小事件發(fā)生的可能性來降低風險。采用防火墻會有些額外的開支，對可用性也會有一定的影響(從而也會影響到收益和客戶滿意度)，通常還會影響擴展性，在網絡流量或事務數量方面造成擴展瓶頸。遺憾的是，許多公司都把防火墻看作唯一的安全手段。他們?yōu)E用防火墻，卻沒有充分利用其他更安全的措施。

關于防火墻對可用性的影響，我們不能輕描淡寫一筆帶過。根據我們的經驗，造成站點故障停工的首要原因是數據庫故障，其次就是防火墻故障。同同樣地，這個原則就是要減少防火墻的數量。但是要記住，在你減少不必要的或多余的防火墻的同時，還有很多其他關系到安全性的事情要做。根據我們的經驗，應把防火墻看做一種周邊安全設備。也就是說，它會增加產品的感知成本和實際成本。就這一點而言，防火墻的功能與房間的門鎖相似。事實上，我們]認為房子這個比喻很適合說明如何看待防火墻，所以下面就以這個比喻為基礎進行說明
在你的房子中，有幾塊區(qū)域很可能沒有上鎖。例如，你可能不會給前院上鎖，還可能會把一些相對較廉價的東西放在前院里，如澆水的軟管和園藝工具。你還可能會把自行車放在前院中，雖然你知道把它放在車庫中，賊更不容易偷走它。更有可能，你給后門也上了鎖，甚至還有門栓，浴室和臥室可能也有小型的隱私鎖。而房子的其他房間，包括衣櫥等，可能都沒有鎖。為什么要區(qū)別對待不同的區(qū)域呢?
房子室外的區(qū)域，雖然對你來說很有價值，但對別人來說，卻沒有值得偷竊的價值。即使你很重視自己的前院，但是也不會認為有人愿意拿著鐵锨來把它挖走，移到別處去。你可能會擔心有人騎車壓過它，破壞了草坪或花酒頭，但這種擔心還不足以讓你花錢用柵欄(并非裝飾性的那種)把它圍起來，破壞了自己和鄰居的良好視野。
室內安裝鎖的目的只是為了保護隱私。大多數室內的門并沒有為了防止好奇者的窺視而裝鎖。我們并沒有給大多數的室內門上鎖或門栓，因為它們只會給我們帶來麻煩，這些鎖帶來的安全感還抵消不了它們造成的麻煩。
現在想想你的產品。有些方面的內容，如靜態(tài)圖像、CSs文件、Javascript文件等，它們對你來說雖很重要，但并不需要高端的安全措施。在許多情況中，都是通過外部網絡的邊緣緩存(或內容分發(fā)網絡)來傳輸這些屬性的。同樣地，不應該讓這些對象再經過額外的關節(jié)(防火墻)來降低全局可用性，由于額外的網絡瓶頸限制了擴展性。確保通過私有IP地址和端口80與443傳遞這些對象，這不僅可以節(jié)省成本還能減少防火墻的負載。
再回頭看看防火墻的價值和成本，讓我們研究一個體系，利用該體系，可以決定何時何地應該實施防火墻。我們已經介紹過，防火墻會讓我們付出以下的代價，即購買防火墻的建設成本。有了防火墻，還要對它進行額外的擴展，而上且它在事務的關鍵路線上增加了設備，有可能出故障或引發(fā)問題，從而對可用性也造成了影響。我們也介紹過防火墻的價值，即它可以阻止或者妨礙那些想偷竊或者損害我們產品的行為。
首先是數據對攻擊者的價值與實施防火墻的成本基本上成反比。雖然兩者關系并非總是如此，但對我們許多客戶的產品來說確實如此。靜態(tài)對象引用是頁面上的主要對象請求，通常也是頁面上最多的元素。因此，隨著事務處理速度和吞吐量的增加，防火墻的成本會增加。在你想到它們對攻擊者來說毫無價值時，就會覺得防火墻更貴。考慮到防火墻會對可用性產生的影響以及購買防火墻的成本，而這種數據又不是攻擊者的主要目標所以該種數據不值得如此投咨。對干這種數口要F保它們使用的是私有IP空間(如10.X.Y.Z)，并且只有通過端口80和443的請求才能訪問它們即可。
不過，另一方面，我們還有諸如信用卡號、銀行賬戶信息和社會保障編碼這樣的數據。這些數據對攻擊者具有很高的價值。保護這種數據的成本相對于保護其他對象來說較低，因為它們的請求頻率比其他對象低。這種對象，我們絕對應該鎖定。
對于我們的平臺所服務的其他請求，沒有必要確保所有的客戶搜索都經過防火墻。那么我們保護什么，服務器自身嗎?我們可以保護自己的資產，通過包過濾、路由器和運營商關系等，使它們免于受到分布式拒絕服務之類的攻擊。利用限制訪問系統(tǒng)的端口的方式可能會失敗。如果攻擊者對這些服務并沒有極大興趣，那么我們也沒有必要把它當作皇冠上的珠寶，花費大量的金錢，以降低可用性為代價來保護它們。
簡而言之，不要假設所有數據都需要同等級別的保護。是否采用網站設計防火墻是一項商業(yè)決定，該決定要能夠在犧牲可用性增加成本的情況下降低風險。太多公司把防火墻看作一元的決定，即如果我們的站點有防火墻，那么所有請求都要經過防火墻，但事實是，防火墻只是眾多用于降低風險的工具之一。在你的產品中，并非所有數據都值得通過增加成本及犧牲可用性來保護。與其他任何一項商業(yè)決定一樣，是否采用防火墻也需要權衡，而不是在實施中采用千篇一律的方法?？紤]到防火墻的特性，從產品的擴展方面來看，它很容易成為大的瓶頸。

新聞名稱：防火墻，到處都是防火墻
網站網址：http://jinyejixie.com/news/142907.html

成都網站建設公司_創(chuàng)新互聯，為您提供網站設計、外貿建站、商城網站、網站內鏈、App開發(fā)、品牌網站建設

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯