��ǰλ�ã�首页 > 集团企业

集团企业

防火墙,到处都是防火墙

����:ʱ��:2019-04-13
仅当防火墙可以显着降低风险并且您意识到它们可能导致可伸缩性和可用性问题时,才使用防火墙。适用情况A适用时适用。仅将防火墙用于符合PI和PCI等法规的重要数据。对于低值的静态数据,请勿使用防火墙。防火墙降低了可用性并产生了不必要的瓶颈。虽然防火墙很有用,但它们经常被滥用,如果设计或实施不当,可用性和可扩展性会受到影响。 TR TR 决定采用哪种安全措施最终应考虑最大化利润。通常,安全措施只是降低风险的一种方法。风险是可能发生行动并且行动将导致影响或损害。防火墙通过降低事件发生的可能性来降低风险。使用防火墙会产生一些额外的开销,这会对可用性(以及收入和客户满意度)产生影响,通常会影响可扩展性并在网络流量或交易数量方面产生扩展瓶颈。不幸的是,许多公司将防火墙视为唯一的安全工具。他们滥用防火墙但没有利用其他更安全的措施。 TR TR   关于防火墙对可用性的影响,我们不能低估中风。根据我们的经验,网站停机的主要原因是数据库故障,其次是防火墙故障。同样,原则是减少防火墙的数量。但请记住,虽然减少了不必要或冗余的防火墙,但还有许多其他与安全性相关的事情。根据我们的经验,防火墙应被视为外围安全设备。换句话说,它增加了产品的感知和实际成本。在这方面,防火墙的功能类似于房间的功能。事实上,我们认为房子的隐喻非常适合解释如何查看防火墙,所以以下是基于这个比喻。 TR 在你的房子里,有一些区域可能没有被锁定。例如,您可能无法锁定前院,或者您可能在前院放置相对便宜的东西,例如浇水软管和园艺工具。你也可以把你的自行车放在前院,虽然你知道把它放在车库里会让小偷更难偷走它。更可能的是,你已经锁上了后门,甚至是门闩,浴室和卧室可能都有小的隐私锁。房子里的其他房间,包括衣柜,可能没有锁。为什么你必须区别对待不同的领域?TR 房子的户外区域虽然对你很有价值,但对其他人来说没有任何价值。即使你重视你的前院,你也不认为有人愿意用铲子把它拿走并把它移走到其他地方。你可能会担心有人骑自行车摧毁了草坪或酒的头部,但是这种担心还不足以让你花钱围在篱笆上(而不是装饰上)围住它并摧毁自己和你的邻居好看。 TR TR 室内安装锁的目的只是为了保护隐私。大多数室内门都没有锁定,以防止偷窥者偷窥。我们没有锁定大部分内门或门锁,因为它们只会给我们带来麻烦,而这些锁的安全性无法抵消它们造成的麻烦。 TR TR 现在想想你的产品。某些方面(如静态图像,CS文件,Javascript文件等)对您很重要,但不需要高端安全措施。在许多情况下,这些属性通过外部网络的边缘缓存(或内容分发网络)传输。同样,这些对象不应受到额外的关节(防火墙)的影响,以降低全局可用性,因为额外的网络瓶颈限制了可扩展性。确保这些对象通过专用IP地址和端口80和443传递,这不仅可以节省成本,还可以减少防火墙的负载。 TR TR 回顾防火墙的价值和成本,让我们研究一个可用于确定实施防火墙的时间和地点的系统。正如我们已经提到的,防火墙将花费我们以下成本:构建防火墙的成本。对于防火墙,它还需要进行额外的扩展,并且它会将设备添加到事务的关键路径中,这会导致问题或导致问题,这也会影响可用性。我们还介绍了防火墙的价值,它可以防止或阻碍想要窃取或损坏我们产品的行为。 TR TR 首先,攻击者的数据价值与实施防火墙的成本成反比。尽管两者之间的关系并非总是如此,但对于我们客户的许多产品来说都是如此。静态对象引用是页面上的主要对象请求,通常是页面上的最多元素。因此,随着事务处理速度和吞吐量的增加,防火墙的成本也会增加。当您认为它们对攻击者毫无价值时,您会发现防火墙更加昂贵。考虑到防火墙对可用性的影响以及购买不是攻击者主要目标的防火墙的成本,这样做是不值得的。为此,您需要保护私有IP空间(例如10.X.Y.Z),并且只有通过端口80和443的请求才能访问它们。 TRTR 但是,另一方面,我们还有信用卡号,银行帐户信息和社会保障代码等数据。这些数据对攻击者具有很高的价值。保护这些数据的成本低于保护其他对象的成本,因为它们的请求频率低于其他对象。这种对象,我们一定要锁定它。 TR TR 对于我们平台提供的其他请求,无需确保所有客户搜索都通过防火墙。那么我们保护什么,服务器本身呢?我们可以保护我们的资产免受数据包过滤,路由器和运营商关系的影响,以保护它们免受分布式拒绝服务。使用限制对系统端口的访问的方法可能会失败。如果攻击者对这些服务不感兴趣,那么我们就不需要将其视为皇冠上的宝石,花费大量资金来保护它们而牺牲可用性。 TR TR 简而言之,不要假设所有数据都需要相同级别的保护。是否采用网站设计防火墙是一项商业决策,能够以提高可用性为代价降低风险。太多公司认为防火墙是一个单一的决定,也就是说,如果我们的网站有防火墙,那么所有请求都会通过防火墙,但事实是防火墙只是减少风险的众多工具之一。并非所有数据都值得通过增加成本和牺牲可用性来保护。与任何其他商业决策一样,使用防火墙的需求也需要权衡而不是一刀切的实施方法。考虑到防火墙的特性,很容易成为产品扩展方面的最大瓶颈。 TR TR
���ű�ǩ:

��һƪ: ��

��һƪ: Windows NT Sorver