幾乎所有的防火墻都是單向的，它們可以保護你免受來自互聯網的邪惡的探頭和探針的侵害，但卻允許你從內部發送任何數據出去。只有較高層次的企業IT領導，才能看到設置了防止數據離開網絡的過濾器。

我說的并不是基于內容防止對某些網站訪問的設施或者阻止P2P應用程序的過濾器，我說的是當異常數據從內部主機通過防火墻時，積極阻止或者發出警報的設備。例如，在秘魯工程設計公司工作的人不太可能會發送大量數據到俄羅斯網站，如果過濾器或者網絡流量監控發現了這個不尋常的活動，這些公司就不會損失數以萬計的藍圖，但他們的防火墻輕易地讓這些機密信息發送了出去。

我們現在面臨著越來越多的內部威脅，不僅僅是病毒和諸如此類的威脅，還有間諜活動。最近有一些傳聞稱，在國外生產的計算機硬件的芯片中可能包含木馬程序，允許對任何敏感設備進行遠程控制，為攻擊者廣開后門。

不要認為這是不可能的事情，這在技術上是可行的。打擊這種深入入侵的唯一辦法就是對離開網絡的數據進行嚴格地監控。我敢打賭，現在的絕大多數的企業基礎設施都沒有這種能見度，而使用這種監控技術的人甚至沒有意識到這種威脅。

但我們如何對出站流量進行控制?在第四層鎖定防火墻的內部并不能防止數據泄露，即使你明確阻止屬于外國或者競爭對手的IP地址范圍。創建和維護這樣一個黑名單是徒勞無功的。

處理這種情況的唯一方法是使用深度數據包檢測，并且在數據包出網絡之前，對每個數據包進行檢查。例如NIKSUN的NetDetector設備就可以實現這一目的，它可以被配置為當經過的流量符合某種模式、包含某種文件或者顯示出特定文本字符串時，就會發出通知。當然，使用重型加密可以規避這些觸發器，但如果突然出現發往未知IP地址的加密流量時，仍然需要進行深度檢測，你就可以立即確定內部來源，因為你有完整的數據包流。

試想一下這樣的情況，主要硬件制造商在不知情的情況下將嵌入木馬的芯片放入防火墻產品本身中，你可以通過防火墻查看所有經過的流量，但你可能無法發現有些數據已經被復制或者發送到另一站點。這種木馬甚至還可能在內部緩沖敏感數據，在正常流量中緩慢穩定地釋放這些數據以降低其能見度。

數據也可能通過蜂窩數據供應商，這樣在企業基礎設施內就沒有任何該數據存在的痕跡，雖然一些數據中心有很少或者沒有蜂窩接收，但大部分數據中心都有。這也是讓企業IT安全人員夜不能寐的事情。

在IT的很多方面，預先得到警報就能預先做好準備。追求真正的網絡安全和能見度是一場持續不斷的斗爭，即使我們得到很多預先警告，但還是不能確保我們能夠打贏這場戰爭。但這并不意味著我們就應該退出這場斗爭，如果你現在沒有監控你的出站流量，那就應該盡快計劃進行監控。不管你是從NTop還是從NIKSUN過濾設備開始，這都是值得的投資。