网站设计公司易捷网络:专注企业网站设计

防火墙,到处都是防火墙

来源:易捷网站设计公司     时间:2018-10-29
只有当防火墙能够显著减少风险,并且你能认识到它们会引发扩展性和可用性问题时,才使用防火墙。适用情形:无论何时都适用。只对遵从PI和PCI等法规的重要数据采用防火墙。对价值低的静态数据,不要采用防火墙。防火墙会降低可用性,造成不必要的护展瓶颈。虽然防火墙很有用,但它们通常会被滥用,如果设计或实施不当,可用性和扩展性都会受影响。
决定采用哪种安全措施最终应该从利润最大化的方面考虑。通常安全措施只是减少风险的一种方法。而风险则是发生某个动作且该动作会造成影响或损害的可能性。防火墙通过减小事件发生的可能性来降低风险。采用防火墙会有些额外的开支,对可用性也会有一定的影响(从而也会影响到收益和客户满意度),通常还会影响扩展性,在网络流量或事务数量方面造成扩展瓶颈。遗憾的是,许多公司都把防火墙看作唯一的安全手段。他们滥用防火墙,却没有充分利用其他更安全的措施。
关于防火墙对可用性的影响,我们不能轻描淡写一笔带过。根据我们的经验,造成站点故障停工的首要原因是数据库故障,其次就是防火墙故障。同同样地,这个原则就是要减少防火墙的数量。但是要记住,在你减少不必要的或多余的防火墙的同时,还有很多其他关系到安全性的事情要做。根据我们的经验,应把防火墙看做一种周边安全设备。也就是说,它会增加产品的感知成本和实际成本。就这一点而言,防火墙的功能与房间的门锁相似。事实上,我们]认为房子这个比喻很适合说明如何看待防火墙,所以下面就以这个比喻为基础进行说明
在你的房子中,有几块区域很可能没有上锁。例如,你可能不会给前院上锁,还可能会把一些相对较廉价的东西放在前院里,如浇水的软管和园艺工具。你还可能会把自行车放在前院中,虽然你知道把它放在车库中,贼更不容易偷走它。更有可能,你给后门也上了锁,甚至还有门栓,浴室和卧室可能也有小型的隐私锁。而房子的其他房间,包括衣橱等,可能都没有锁。为什么要区别对待不同的区域呢?
房子室外的区域,虽然对你来说很有价值,但对别人来说,却没有值得偷窃的价值。即使你很重视自己的前院,但是也不会认为有人愿意拿着铁锨来把它挖走,移到别处去。你可能会担心有人骑车压过它,破坏了草坪或花酒头,但这种担心还不足以让你花钱用栅栏(并非装饰性的那种)把它围起来,破坏了自己和邻居的良好视野。
室内安装锁的目的只是为了保护隐私。大多数室内的门并没有为了防止好奇者的窥视而装锁。我们并没有给大多数的室内门上锁或门栓,因为它们只会给我们带来麻烦,这些锁带来的安全感还抵消不了它们造成的麻烦。
现在想想你的产品。有些方面的内容,如静态图像、CSs文件、Javascript文件等,它们对你来说虽很重要,但并不需要高端的安全措施。在许多情况中,都是通过外部网络的边缘缓存(或内容分发网络)来传输这些属性的。同样地,不应该让这些对象再经过额外的关节(防火墙)来降低全局可用性,由于额外的网络瓶颈限制了扩展性。确保通过私有IP地址和端口80与443传递这些对象,这不仅可以节省成本还能减少防火墙的负载。
再回头看看防火墙的价值和成本,让我们研究一个体系,利用该体系,可以决定何时何地应该实施防火墙。我们已经介绍过,防火墙会让我们付出以下的代价,即购买防火墙的建设成本。有了防火墙,还要对它进行额外的扩展,而上且它在事务的关键路线上增加了设备,有可能出故障或引发问题,从而对可用性也造成了影响。我们也介绍过防火墙的价值,即它可以阻止或者妨碍那些想偷窃或者损害我们产品的行为。
首先是数据对攻击者的价值与实施防火墙的成本基本上成反比。虽然两者关系并非总是如此,但对我们许多客户的产品来说确实如此。静态对象引用是页面上的主要对象请求,通常也是页面上最多的元素。因此,随着事务处理速度和吞吐量的增加,防火墙的成本会增加。在你想到它们对攻击者来说毫无价值时,就会觉得防火墙更贵。考虑到防火墙会对可用性产生的影响以及购买防火墙的成本,而这种数据又不是攻击者的主要目标所以该种数据不值得如此投咨。对干这种数口要F保它们使用的是私有IP空间(如10.X.Y.Z),并且只有通过端口80和443的请求才能访问它们即可。
不过,另一方面,我们还有诸如信用卡号、银行账户信息和社会保障编码这样的数据。这些数据对攻击者具有很高的价值。保护这种数据的成本相对于保护其他对象来说较低,因为它们的请求频率比其他对象低。这种对象,我们绝对应该锁定。
对于我们的平台所服务的其他请求,没有必要确保所有的客户搜索都经过防火墙。那么我们保护什么,服务器自身吗?我们可以保护自己的资产,通过包过滤、路由器和运营商关系等,使它们免于受到分布式拒绝服务之类的攻击。利用限制访问系统的端口的方式可能会失败。如果攻击者对这些服务并没有极大兴趣,那么我们也没有必要把它当作皇冠上的珠宝,花费大量的金钱,以降低可用性为代价来保护它们。
简而言之,不要假设所有数据都需要同等级别的保护。是否采用网站设计防火墙是一项商业决定,该决定要能够在牺牲可用性增加成本的情况下降低风险。太多公司把防火墙看作一元的决定,即如果我们的站点有防火墙,那么所有请求都要经过防火墙,但事实是,防火墙只是众多用于降低风险的工具之一。在你的产品中,并非所有数据都值得通过增加成本及牺牲可用性来保护。与其他任何一项商业决定一样,是否采用防火墙也需要权衡,而不是在实施中采用千篇一律的方法。考虑到防火墙的特性,从产品的扩展方面来看,它很容易成为最大的瓶颈。
深圳网站设计公司易捷网络科技是一家专业从事深圳网站建设和深圳网页设计的深圳网络公司,主要经营的业务有:深圳网站建设、网页设计、网站推广优化、企业邮箱申请、网站域名空间备案。欢迎来电咨询(微信同号):13714247375
返回上一级
您可能需要:
网站设计图标
企业网站设计
高速稳定的国内空间,免费备案的香港、国外空间,单线、双线以多线空间
点击咨询
关键字推广优化图标
网站推广优化
指定网站关键词,确保一月之内优化到搜索引擎得首页,到首页之后再收费
点击咨询
企业邮箱图标
企业邮箱申请购买
以企业官网后缀为名称的邮箱,彰显公司企业形象,先试用,满意后再付款
点击咨询
国徽图标
网站域名空间备案
域名空间提交国家工信部备案审核,十五天即可完成,网站备案实名势在必行
点击咨询
网站设计相关资讯推荐
网站建设服务器技术的选择
网站运维如何从学徒到师傅
网页设计需要了解的内容
网站建设需要搜集哪些素材
服务器放国外,百度会区别对待吗
公司网站设计如何提高用户体验
怎样分析网站用户行为
网站设计都需要哪些步骤
尽可能减少对象
旅游移民网站设计应注意哪些方面
怎样建立网站具体操作流程是什么
分类信息站如何让流量快速提升
什么是网站源程序
网站制作公司哪家好如何很好的选择
网页设计中标准的广告尺寸规格
QQ在线咨询
 
金亚洲打不开