如果我說：防火墻將退出IT舞臺。你會不會覺得有點信口開河?多年來，依靠SPI(全狀態數據包檢測型防火墻)與代理防火墻機制保障安全幾乎成了IT工作者們的金科玉律，脫離防火墻簡直是無稽之談。但是時代在發展，一切都不同了，對于面向互聯網的大型服務器集群來說，防火墻的加入不過是陡增多余的故障點。

服務器前端不設置防火墻并不意味著我們無法對系統接入加以控制。或許你并不相信，關閉防火墻反而能在一定程度上提高網絡及主機安全的可靠性與堅實性。下面，我們將從三個角度出發，論證為什么防火墻的退出能改善日常工作、幫助企業簡化轉型難題。

“不要防火墻”并不意味著“不要控制”

服務器前端不設置防火墻并不意味著我們無法對系統接入加以控制。事實上，現代操作系統中早已普及了路由器訪問列表、基于主機的內置數據包過濾器等簡單但可靠的技術，而這些機制完全能夠提供足夠的控制功能。邊緣路由器能夠很好地剔除異常數據包，同時幫助企業節約防火墻產品的開銷。如果一臺服務器僅監聽443端口，那么它就應該成為邊緣路由器的惟一開放端口并接收能通過服務器自身防火墻的訪問請求。

另一種非常重要且有效的解決方案在于利用邊緣路由器控制出站連接。攻擊者必須與被攻破的主機進行通信才能實施進一步惡意活動，如果主機無法建立出站連接，那么攻擊者也將無從下手。與互聯網對接的服務器應該能與內部服務器溝通DNS及NTP協議、從內部補丁庫中下載補丁并向內部日志服務器發送日志文件。然而一旦涉及對外服務，嚴密控制將使攻擊者無機可乘。即使大家的企業無法接受徹底脫離標準網絡防火墻的觀念，也應將嚴格把控出站連接當作防火墻設置工作的重點。

主機擁有充足的自保能力

防火墻可用于多種用途，而目前其最主要的預定目標就是對孱弱或者糟糕的主機安全性提供支持。相比保護主機本身，很多系統管理者更樂于將系統隱藏在互聯網防火墻之下，并認為一套狀態化防火墻能夠保護系統免受嚴重威脅。但我要遺憾地提醒大家，這種思路完全行不通。這種方案好比“掩耳盜鈴”。

系統管理者們是時候認真了解自己的主機安全機制并啟用內置隔離功能了，這樣服務器才能從坐以待斃的窘境中擺脫出來，以積極姿態應對來自企業局域網或者外部互聯網的猛烈攻勢。每一種現代操作系統都提供多種訪問控制方式，我們只要稍加配置就能使其生效。請記住，我們越是接近想要保護的信息、安全工作就越容易開展。

應對攻擊數據保護是根本

對主機失去控制令人頭痛，正如我們對正門上的涂鴉無可奈何一樣。無論惡意人士是從正門闖入還是網絡潛入，由此造成的數據丟失都屬于很嚴重的后果。事實上，無論防火墻是否存在，主機都有可能被攻破。因此保護重要信息的工作應該從信息本身著手，而不能僅在周圍部署一些防御機制、然后坐等攻擊活動發生。

為了實現這一目標，我們需要采用合適的數據保護控制方案：加密、數據隱藏、歸檔甚至清除計劃任務中的臨時文件等。這一切都能降低主機被攻破后所引發的后續風險。如果被竊取的內容并不重要或者攻擊者無法使用取得的信息，我們的企業也就不至于因為安全事件而登上新聞頭條、更不可能違規事故的責任承擔者。

除此之外，我們還應妥善分隔系統與應用程序管理流程中的職責與權限，盡量降低來自內部人員的潛在風險。系統管理員與網絡管理員并不需要訪問關鍵性業務數據的權限，應用程序擁有者也不需要擁有與操作系統管理員等同的權限。大家一定還記得將美國國家安全局拉入泥潭的斯諾登——他的作為是否正確姑且不論，但如果安全局方面能明確劃分各崗位的具體權限，如今的麻煩也將不復存在。