部(bu)署下一(yi)代的(de)防火墻可以保護進出、以及在企業內部(bu)的(de)服務器之間傳輸(shu)的(de)網(wang)絡(luo)流量(liang)。

現如今(jin)的(de)企業(ye)組(zu)(zu)織(zhi)可以(yi)說是采用了(le)各種各樣的(de)數(shu)(shu)據(ju)中心架構。有(you)(you)些企業(ye)組(zu)(zu)織(zhi)選擇(ze)為每款應用程(cheng)序利用專用的(de)物理(li)服(fu)務器，運(yun)行一(yi)(yi)個企業(ye)私有(you)(you)的(de)、單一(yi)(yi)組(zu)(zu)織(zhi)的(de)設(she)施。其他有(you)(you)的(de)企業(ye)組(zu)(zu)織(zhi)則選擇(ze)了(le)一(yi)(yi)款為數(shu)(shu)百或數(shu)(shu)千家客戶提供虛擬服(fu)務器的(de)公(gong)有(you)(you)云設(she)施。所(suo)有(you)(you)這些數(shu)(shu)據(ju)中心都有(you)(you)一(yi)(yi)些共同點：均需要保(bao)護他們(men)的(de)應用程(cheng)序和(he)數(shu)(shu)據(ju)的(de)安全，進而(er)免受越來越多的(de)復雜的(de)網絡安全的(de)威(wei)脅。

任何數(shu)據(ju)中(zhong)心安全(quan)策略的(de)關鍵部分(fen)都是(shi)通過采用了下一代的(de)物(wu)理和虛擬(ni)(ni)防火墻(qiang)的(de)協同工(gong)作(zuo)，來監控和分(fen)析數(shu)據(ju)中(zhong)心內(nei)的(de)所有(you)網(wang)絡流(liu)量。物(wu)理防火墻(qiang)設備嘗試跨數(shu)據(ju)中(zhong)心的(de)網(wang)絡邊界來對流(liu)量實施監控，而虛擬(ni)(ni)防火墻(qiang)則負責檢(jian)查(cha)流(liu)入或(huo)流(liu)出數(shu)據(ju)中(zhong)心虛擬(ni)(ni)服(fu)務器(qi)的(de)流(liu)量。這種方法為(wei)云環境(jing)提供了強大的(de)安全(quan)解(jie)決(jue)方案，但(dan)網(wang)絡安全(quan)威(wei)脅仍然潛在(zai)的(de)可能來自(zi)其他人所使用的(de)進行虛擬(ni)(ni)服(fu)務的(de)相同的(de)物(wu)理服(fu)務器(qi)。

數據(ju)中心的(de)IT領導人們可以在(zai)他(ta)們的(de)數據(ju)中心通過(guo)戰略性的(de)采用來(lai)自相應的(de)供應廠商的(de)物(wu)理(li)防火墻設(she)備(bei)和(he)虛擬防火墻來(lai)保護其數據(ju)流量免(mian)受(shou)安全威脅。

數據中心的安全威脅

數據(ju)(ju)中(zhong)心(xin)(xin)安(an)(an)全(quan)(quan)(quan)的(de)(de)(de)原始模(mo)型是(shi)(shi)基于安(an)(an)全(quan)(quan)(quan)威脅是(shi)(shi)來自外(wai)部的(de)(de)(de)假設。故而保護數據(ju)(ju)中(zhong)心(xin)(xin)的(de)(de)(de)這(zhe)些(xie)基礎設施(shi)的(de)(de)(de)安(an)(an)全(quan)(quan)(quan)架構都主要(yao)是(shi)(shi)專(zhuan)注于在(zai)數據(ju)(ju)中(zhong)心(xin)(xin)和(he)外(wai)部世界之間建立一(yi)(yi)個(ge)網絡外(wai)圍邊(bian)界。而這(zhe)一(yi)(yi)外(wai)圍邊(bian)界的(de)(de)(de)基礎便(bian)是(shi)(shi)一(yi)(yi)道(dao)防火墻(qiang)，其將負責(ze)檢查所有的(de)(de)(de)南北走向的(de)(de)(de)流量(liang)，這(zhe)些(xie)流量(liang)主要(yao)是(shi)(shi)在(zai)數據(ju)(ju)中(zhong)心(xin)(xin)和(he)互聯網之間傳輸。防火墻(qiang)負責(ze)在(zai)這(zhe)些(xie)數據(ju)(ju)流量(liang)中(zhong)尋找違反安(an)(an)全(quan)(quan)(quan)管理策略和(he)所存在(zai)的(de)(de)(de)其他(ta)可(ke)疑活動的(de)(de)(de)跡(ji)象。然(ran)后(hou)，其便(bian)采取(qu)相應的(de)(de)(de)措施(shi)，如阻止流量(liang)傳輸、標記(ji)額外(wai)的(de)(de)(de)附加信息，并通知(zhi)操作管理員(yuan)。

盡管數(shu)據(ju)中心仍然需要排查(cha)南北走向的(de)(de)(de)(de)流量(liang)，以及時發現(xian)外部安(an)全威脅，但現(xian)在的(de)(de)(de)(de)安(an)全威脅監測(ce)工作已(yi)變(bian)得越來越復雜(za)了(le)。例(li)如，客戶(hu)(hu)端(duan)設(she)備(bei)(bei)對于(yu)托管在數(shu)據(ju)中心服務器的(de)(de)(de)(de)數(shu)據(ju)的(de)(de)(de)(de)訪問便構成了(le)相當大(da)的(de)(de)(de)(de)威脅。在過(guo)去，客戶(hu)(hu)端(duan)設(she)備(bei)(bei)都(dou)是同質的(de)(de)(de)(de)、集中管理的(de)(de)(de)(de)臺式電(dian)腦，均處于(yu)一家企業(ye)組織內部，并受到企業(ye)安(an)全控制的(de)(de)(de)(de)保護(hu)。故而彼時由客戶(hu)(hu)端(duan)設(she)備(bei)(bei)所造成的(de)(de)(de)(de)惡意軟件(jian)和其他漏(lou)洞(dong)能夠快(kuai)速被檢(jian)測(ce)和糾(jiu)正。

但現如今的(de)(de)(de)大多數企業(ye)環境(jing)早已不再是(shi)如此了(le)。企業(ye)用戶(hu)(hu)所采(cai)用的(de)(de)(de)客戶(hu)(hu)端(duan)(duan)設(she)(she)(she)備不僅在其操作系統和應(ying)用程序方(fang)面千(qian)差萬別(bie)，而且(qie)這(zhe)些(xie)設(she)(she)(she)備所存(cun)在的(de)(de)(de)安(an)全(quan)漏(lou)洞(dong)、他(ta)們使用的(de)(de)(de)安(an)全(quan)控(kong)制、以(yi)及他(ta)們連(lian)接到企業(ye)IT資源時所處的(de)(de)(de)地理位置也是(shi)廣泛變化的(de)(de)(de)。許多客戶(hu)(hu)端(duan)(duan)設(she)(she)(she)備是(shi)企業(ye)用戶(hu)(hu)的(de)(de)(de)私人的(de)(de)(de)硬(ying)件設(she)(she)(she)備，并經(jing)常沒有使用任何安(an)全(quan)控(kong)制。它的(de)(de)(de)這(zhe)使得現在的(de)(de)(de)企業(ye)IT管理人員(yuan)們發現，他(ta)們不能再假設(she)(she)(she)從企業(ye)內部進行訪問的(de)(de)(de)客戶(hu)(hu)端(duan)(duan)設(she)(she)(she)備是(shi)絕對處于安(an)全(quan)控(kong)制之下的(de)(de)(de)了(le)，一(yi)旦發現有用戶(hu)(hu)使用這(zhe)些(xie)客戶(hu)(hu)端(duan)(duan)設(she)(she)(she)備，也將需要迅速實施檢測，并根除(chu)相應(ying)的(de)(de)(de)安(an)全(quan)威(wei)脅(xie)。在這(zhe)個新的(de)(de)(de)環境(jing)中(zhong)，每(mei)款(kuan)客戶(hu)(hu)端(duan)(duan)設(she)(she)(she)備都(dou)潛在的(de)(de)(de)構成(cheng)了(le)一(yi)個單獨的(de)(de)(de)安(an)全(quan)威(wei)脅(xie)。

數(shu)(shu)據(ju)中(zhong)(zhong)心(xin)安全威(wei)(wei)(wei)脅(xie)的(de)另一大變化(hua)是(shi)在數(shu)(shu)據(ju)中(zhong)(zhong)心(xin)內(nei)部(bu)的(de)服(fu)務器(qi)(qi)之間的(de)相互作用(yong)。非(fei)故(gu)意的(de)安全威(wei)(wei)(wei)脅(xie)一直是(shi)一個(ge)普(pu)遍關注的(de)問(wen)題(ti)。例如，某臺服(fu)務器(qi)(qi)感染了惡意軟件，會(hui)通過數(shu)(shu)據(ju)的(de)傳輸而感染到數(shu)(shu)據(ju)中(zhong)(zhong)心(xin)內(nei)部(bu)的(de)其(qi)他(ta)服(fu)務器(qi)(qi)。但是(shi)到了今天，故(gu)意的(de)安全威(wei)(wei)(wei)脅(xie)也可(ke)能是(shi)一大問(wen)題(ti)。在一處擁有多家(jia)(jia)客戶的(de)數(shu)(shu)據(ju)中(zhong)(zhong)心(xin)，如一個(ge)公共云(yun)環境，一家(jia)(jia)客戶可(ke)能試(shi)圖侵(qin)入另一臺服(fu)務器(qi)(qi)，以便(bian)竊取專有信息或篡(cuan)改記錄(lu)。

在(zai)數(shu)(shu)(shu)據(ju)(ju)中心服務器(qi)之間(jian)傳輸的(de)(de)(de)網絡流(liu)(liu)量(liang)(liang)稱為東西走(zou)(zou)向的(de)(de)(de)流(liu)(liu)量(liang)(liang)。對(dui)于(yu)此(ci)類(lei)流(liu)(liu)量(liang)(liang)實施監(jian)控對(dui)于(yu)查(cha)找(zhao)和(he)阻止(zhi)安全威脅是至關重要(yao)(yao)的(de)(de)(de)。許多數(shu)(shu)(shu)據(ju)(ju)中心的(de)(de)(de)東西走(zou)(zou)向的(de)(de)(de)流(liu)(liu)量(liang)(liang)要(yao)(yao)比南北走(zou)(zou)向的(de)(de)(de)流(liu)(liu)量(liang)(liang)（客戶端(duan)到(dao)服務器(qi)的(de)(de)(de)流(liu)(liu)量(liang)(liang)）更(geng)多得多。因(yin)此(ci)，忽略對(dui)東西流(liu)(liu)量(liang)(liang)實施監(jian)控或將意(yi)(yi)味著數(shu)(shu)(shu)據(ju)(ju)中心內部虛(xu)擬或物理服務器(qi)之間(jian)所存在(zai)的(de)(de)(de)安全攻擊可(ke)能不被注意(yi)(yi)。此(ci)外，隨著數(shu)(shu)(shu)據(ju)(ju)中心越(yue)來越(yue)多的(de)(de)(de)托管高價(jia)值的(de)(de)(de)應用程(cheng)序，以及以前原本存儲在(zai)企業內部網絡上(shang)更(geng)為孤立的(de)(de)(de)敏感數(shu)(shu)(shu)據(ju)(ju)信息，因(yin)此(ci)使得這類(lei)流(liu)(liu)量(liang)(liang)更(geng)需要(yao)(yao)受到(dao)更(geng)好(hao)的(de)(de)(de)保護。此(ci)外，現(xian)代(dai)數(shu)(shu)(shu)據(ju)(ju)中心必須為應用程(cheng)序和(he)數(shu)(shu)(shu)據(ju)(ju)提供(gong)日志和(he)審計(ji)服務，以支(zhi)持其(qi)操作，例如必須符合安全合規性計(ji)劃或審計(ji)要(yao)(yao)求。

數據中心運營商們(men)還(huan)必(bi)須了解(jie)來自前幾代(dai)先進性網(wang)(wang)絡安全(quan)的(de)威脅。當前網(wang)(wang)絡安全(quan)威脅的(de)典型(xing)模式是通(tong)過(guo)一家企業組織的(de)服務器緩慢地(di)(di)、隱蔽地(di)(di)走向(xiang)最終的(de)目標服務器，而避免(mian)被檢(jian)測到。今天(tian)的(de)大多數網(wang)(wang)絡安全(quan)威脅均尋求訪問(wen)和復(fu)制(zhi)敏感的(de)數據信息，然后將其轉移到一個外部位(wei)置，進而獲取經濟(ji)利(li)益(yi)。

網絡攻擊(ji)(ji)者(zhe)通常通過(guo)獲(huo)得(de)(de)一名普(pu)通職員(yuan)的(de)訪問授(shou)權憑(ping)證(zheng)來(lai)開(kai)始其(qi)攻擊(ji)(ji)。而實現這(zhe)一點的(de)常見方(fang)式是用惡意軟件感染客戶(hu)(hu)(hu)端設備以獲(huo)取(qu)憑(ping)證(zheng)，或者(zhe)使(shi)用網絡釣(diao)魚或其(qi)他社交工程技術欺騙用戶(hu)(hu)(hu)向攻擊(ji)(ji)者(zhe)提供憑(ping)證(zheng)。然后(hou)攻擊(ji)(ji)者(zhe)可(ke)以使(shi)用這(zhe)些憑(ping)證(zheng)來(lai)訪問數(shu)(shu)(shu)據中心(xin)內(nei)的(de)特定服務器(qi)(qi)(qi)，以及可(ke)能(neng)支(zhi)持相同憑(ping)證(zheng)的(de)其(qi)他服務器(qi)(qi)(qi)。攻擊(ji)(ji)者(zhe)可(ke)能(neng)需要使(shi)用其(qi)他安(an)全(quan)漏洞(dong)以提升其(qi)權限，獲(huo)得(de)(de)更多用戶(hu)(hu)(hu)帳戶(hu)(hu)(hu)的(de)訪問權或以其(qi)他方(fang)式繼續朝(chao)向目(mu)標服務器(qi)(qi)(qi)進(jin)展。一旦攻擊(ji)(ji)者(zhe)獲(huo)得(de)(de)對目(mu)標服務器(qi)(qi)(qi)的(de)訪問，最終將利用漏洞(dong)將企(qi)業組織的(de)敏感數(shu)(shu)(shu)據傳輸到攻擊(ji)(ji)者(zhe)在數(shu)(shu)(shu)據中心(xin)外部所選(xuan)擇的(de)系統。

傳統防火(huo)墻(qiang)vs.下一代的防火(huo)墻(qiang)

當評估(gu)不(bu)同(tong)的(de)(de)防火(huo)墻產品時，企(qi)業IT領(ling)導者(zhe)應(ying)該明白(bai)，他們的(de)(de)功能差異很大。第一項(xiang)區別(bie)是防火(huo)墻是否(fou)使用(yong)傳(chuan)(chuan)統(tong)的(de)(de)分析機(ji)制，專注于標(biao)準的(de)(de)端口(kou)和協議；以及其是否(fou)提供強(qiang)大的(de)(de)下一代防火(huo)墻的(de)(de)功能。而傳(chuan)(chuan)統(tong)防火(huo)墻和下一代防火(huo)墻之間的(de)(de)主要區別(bie)在于：

網(wang)絡監控：傳統(tong)的(de)(de)監控方(fang)法僅監控特定的(de)(de)端口(kou)，并(bing)對每個(ge)端口(kou)上使(shi)(shi)用的(de)(de)協議作出(chu)假(jia)設(she)。在一(yi)款非標準(zhun)端口(kou)上運(yun)行的(de)(de)任何服務的(de)(de)網(wang)絡流量是(shi)可(ke)以忽略的(de)(de)；故(gu)而攻擊者可(ke)以利用這一(yi)局限性避免被檢測到。而下(xia)一(yi)代的(de)(de)監控方(fang)法不使(shi)(shi)用關于(yu)任何端口(kou)上所(suo)使(shi)(shi)用的(de)(de)哪款協議的(de)(de)這樣的(de)(de)假(jia)設(she)，所(suo)以他們可(ke)以看到并(bing)解析流量，而不管其所(suo)使(shi)(shi)用的(de)(de)端口(kou)。

處(chu)理(li)異常協議(yi)：傳統的方(fang)法(fa)假定(ding)所有(you)(you)流量僅使用(yong)(yong)最常見的應(ying)用(yong)(yong)程序(xu)協議(yi)。傳統的防火墻會受到未知協議(yi)的阻礙。在(zai)默認情況下(xia)，其要么允許(xu)流量通過，而不對(dui)其進行分析，這是危險(xian)的，要么直(zhi)接阻止流量的傳輸，這又(you)可能中斷授(shou)權(quan)的操作(zuo)。下(xia)一代的防火墻對(dui)應(ying)用(yong)(yong)程序(xu)協議(yi)有(you)(you)了更廣泛的理(li)解，允許(xu)做(zuo)出更好，更精確(que)的決策。

建立流(liu)量(liang)管理(li)規(gui)(gui)則(ze)：對于傳統(tong)的(de)防(fang)(fang)火墻(qiang)而言，管理(li)防(fang)(fang)火墻(qiang)策略以(yi)反映現實世界(jie)的(de)流(liu)量(liang)通常更為復雜。一款傳統(tong)的(de)防(fang)(fang)火墻(qiang)使用基于源地(di)址和(he)目的(de)地(di)的(de)IP地(di)址和(he)端(duan)口(kou)號，以(yi)及協議類型(xing)和(he)其(qi)(qi)他數(shu)據包(bao)特(te)性的(de)規(gui)(gui)則(ze)集。更復雜的(de)是，防(fang)(fang)火墻(qiang)通常依(yi)賴于反病毒服務器(qi)，入侵防(fang)(fang)御服務器(qi)和(he)其(qi)(qi)他技術(shu)來作(zuo)為其(qi)(qi)能力的(de)補充。使用這些(xie)技術(shu)可能需要為每種類型(xing)的(de)流(liu)量(liang)添加額外的(de)規(gui)(gui)則(ze)，并確(que)保(bao)所有規(gui)(gui)則(ze)保(bao)持(chi)適當的(de)順序。這些(xie)規(gui)(gui)則(ze)集的(de)防(fang)(fang)火墻(qiang)策略維護(hu)相(xiang)當耗時(shi)且容易(yi)出錯(cuo)，從而導致了操(cao)作(zuo)中斷和(he)創建漏洞，從而可能允許(xu)攻擊(ji)者通過防(fang)(fang)火墻(qiang)而未被檢測到(dao)。

有效的數據中心防御

數據中心的(de)安(an)全防御(yu)必須得到擴大和加強，以便包括(kuo)對于其東西(xi)走向流(liu)量(liang)的(de)安(an)全監(jian)測和分析(xi)。實現這(zhe)一目(mu)標的(de)一個(ge)早(zao)期(qi)的(de)方法是將所有東西(xi)走向的(de)流(liu)量(liang)集中到一個(ge)防火墻實施檢查，然后(hou)才允許這(zhe)些流(liu)量(liang)繼續(xu)傳(chuan)輸到其相應的(de)目(mu)的(de)地(di)。但這(zhe)樣的(de)架構是非常低效的(de)，增加了所有網(wang)絡通信的(de)開銷(xiao)。而在(zai)今天的(de)云環境中，這(zhe)樣的(de)方法也會錯過在(zai)一臺單一的(de)物理服務器內(nei)的(de)虛(xu)擬機之間的(de)流(liu)量(liang)。

一處數據中心的(de)南北走向的(de)流量(liang)最(zui)好(hao)由一款(kuan)或多款(kuan)企業級的(de)防火墻(qiang)(qiang)設備來實施(shi)監控，但東西走向的(de)流量(liang)則(ze)最(zui)好(hao)由安裝在每臺物理服務(wu)器(qi)上的(de)虛擬防火墻(qiang)(qiang)來負(fu)責處理。這些防火墻(qiang)(qiang)由每臺服務(wu)器(qi)的(de)虛擬機管理程(cheng)序來使用，不僅負(fu)責監控進入和離開服務(wu)器(qi)的(de)所(suo)有網絡流量(liang)，還監控在服務(wu)器(qi)的(de)管理程(cheng)序內的(de)虛擬機之(zhi)間(jian)傳(chuan)遞的(de)所(suo)有網絡流量(liang)。

數(shu)據中心內(nei)的(de)(de)防火墻(qiang)必須具有(you)(you)(you)強大(da)的(de)(de)功能(neng)，以便檢(jian)(jian)查(cha)(cha)(cha)和(he)分析應(ying)用程序的(de)(de)流量(liang)。這不(bu)僅意味著理解經常(chang)用于(yu)應(ying)用程序組(zu)件之間通(tong)信的(de)(de)Web、數(shu)據庫和(he)其他協議類(lei)別，而且還意味著能(neng)夠(gou)檢(jian)(jian)查(cha)(cha)(cha)加(jia)(jia)密(mi)(mi)(mi)網(wang)(wang)絡流量(liang)的(de)(de)內(nei)容。保護敏感信息的(de)(de)相同加(jia)(jia)密(mi)(mi)(mi)技術(shu)也隱藏(zang)了(le)網(wang)(wang)絡攻(gong)擊。有(you)(you)(you)幾種選項可用于(yu)訪問這些加(jia)(jia)密(mi)(mi)(mi)分組(zu)的(de)(de)內(nei)容，例如(ru)傳輸中的(de)(de)非加(jia)(jia)密(mi)(mi)(mi)流量(liang)，或者采(cai)用防火墻(qiang)檢(jian)(jian)查(cha)(cha)(cha)其內(nei)容，然后在(zai)將流量(liang)發送到其最終目的(de)(de)地(di)之前對流量(liang)進行重新加(jia)(jia)密(mi)(mi)(mi)，由(you)此給予了(le)企業組(zu)織在(zai)確(que)定如(ru)何確(que)保防火墻(qiang)審查(cha)(cha)(cha)所有(you)(you)(you)流量(liang)內(nei)容方面的(de)(de)靈活性。

另一(yi)(yi)個重要的(de)(de)(de)(de)(de)考(kao)慮因素是通過服(fu)(fu)務(wu)(wu)器(qi)虛(xu)擬(ni)化所(suo)帶(dai)來的(de)(de)(de)(de)(de)數(shu)據(ju)中(zhong)心云(yun)環境(jing)的(de)(de)(de)(de)(de)高度動態性。在這樣(yang)的(de)(de)(de)(de)(de)環境(jing)中(zhong)，虛(xu)擬(ni)服(fu)(fu)務(wu)(wu)器(qi)自動從一(yi)(yi)臺物理(li)服(fu)(fu)務(wu)(wu)器(qi)遷移(yi)到(dao)另一(yi)(yi)臺物理(li)服(fu)(fu)務(wu)(wu)器(qi)，并且根據(ju)需(xu)要產生(sheng)虛(xu)擬(ni)服(fu)(fu)務(wu)(wu)器(qi)的(de)(de)(de)(de)(de)副(fu)本，以處理(li)不斷(duan)變化的(de)(de)(de)(de)(de)需(xu)求，并補償(chang)涉(she)及(ji)物理(li)服(fu)(fu)務(wu)(wu)器(qi)和網絡的(de)(de)(de)(de)(de)操(cao)作問(wen)題(ti)。對于(yu)虛(xu)擬(ni)服(fu)(fu)務(wu)(wu)器(qi)的(de)(de)(de)(de)(de)保護需(xu)要使(shi)用(yong)可將安全策(ce)(ce)略與(yu)每臺虛(xu)擬(ni)服(fu)(fu)務(wu)(wu)器(qi)相關聯的(de)(de)(de)(de)(de)防火(huo)(huo)(huo)墻(qiang)技(ji)術，并當虛(xu)擬(ni)服(fu)(fu)務(wu)(wu)器(qi)在數(shu)據(ju)中(zhong)心內遷移(yi)時自動重新定位和啟用(yong)該策(ce)(ce)略。這些(xie)防火(huo)(huo)(huo)墻(qiang)技(ji)術還必(bi)須具有(you)強(qiang)大的(de)(de)(de)(de)(de)安全分析功能。但不幸(xing)的(de)(de)(de)(de)(de)是，云(yun)環境(jing)的(de)(de)(de)(de)(de)許多防火(huo)(huo)(huo)墻(qiang)是基于(yu)傳統的(de)(de)(de)(de)(de)，具有(you)太多缺陷的(de)(de)(de)(de)(de)端口監控方(fang)法(fa)。

保護數據中心的步驟

對于數(shu)據中(zhong)心防御措施的(de)(de)改進最好(hao)通過分階(jie)段的(de)(de)方(fang)法來實現。嘗試更(geng)換舊式的(de)(de)防火(huo)墻設備(bei)，并一(yi)次性的(de)(de)部署(shu)所需(xu)的(de)(de)虛擬防火(huo)墻，尤其(qi)是在沒(mei)有(you)嚴格規劃情(qing)況下(xia)的(de)(de)轉變可能會導致操作的(de)(de)重大中(zhong)斷，并帶(dai)來安全(quan)漏洞，這可能反(fan)而喪失了部署(shu)防火(huo)墻的(de)(de)價值。一(yi)個(ge)高層次的(de)(de)數(shu)據中(zhong)心安全(quan)改進方(fang)法可以分為四(si)個(ge)階(jie)段進行：

階段1：收(shou)集應用程序(xu)的信息(xi)，包括其(qi)組(zu)件(jian)，每個組(zu)件(jian)所使(shi)用的數據的敏感性(xing)以及(ji)組(zu)件(jian)之間的所有流量的性(xing)質。

階段2：確(que)定每(mei)(mei)款(kuan)應用程序的安全需求，包括(kuo)每(mei)(mei)款(kuan)應用程序組件(jian)和每(mei)(mei)個流量的安全需求。

階段3：確(que)定在哪(na)里(li)部署防火墻(qiang)以滿足(zu)這些需求，然(ran)后從部署只有基本安全功能的(de)防火墻(qiang)，作為(wei)一個起點。

階(jie)段4：隨著時間的(de)(de)(de)(de)(de)(de)(de)推(tui)移，按照(zhao)每款應用(yong)程序的(de)(de)(de)(de)(de)(de)(de)組件和(he)數據(ju)的(de)(de)(de)(de)(de)(de)(de)安(an)全(quan)需求啟用(yong)額外的(de)(de)(de)(de)(de)(de)(de)其(qi)他安(an)全(quan)功(gong)能，以保護應用(yong)程序和(he)他們(men)的(de)(de)(de)(de)(de)(de)(de)數據(ju)免受先(xian)進(jin)的(de)(de)(de)(de)(de)(de)(de)高級威脅的(de)(de)(de)(de)(de)(de)(de)攻(gong)擊。在(zai)(zai)這其(qi)中，階(jie)段3通常(chang)是最具挑戰性的(de)(de)(de)(de)(de)(de)(de)，因為(wei)IT管理(li)人(ren)員在(zai)(zai)選擇在(zai)(zai)何處部署(shu)防(fang)火墻(qiang)時，需要考(kao)慮太(tai)多(duo)(duo)的(de)(de)(de)(de)(de)(de)(de)因素。例如，他們(men)通常(chang)將高價(jia)值的(de)(de)(de)(de)(de)(de)(de)應用(yong)程序和(he)來自其(qi)他操(cao)作的(de)(de)(de)(de)(de)(de)(de)數據(ju)實施分段，以便為(wei)高價(jia)值的(de)(de)(de)(de)(de)(de)(de)數據(ju)資(zi)產提供更(geng)強的(de)(de)(de)(de)(de)(de)(de)保護。但是，還有其(qi)他太(tai)多(duo)(duo)需要考(kao)慮的(de)(de)(de)(de)(de)(de)(de)因素，例如按業務部門(men)，用(yong)戶社區(qu)（客戶與員工），用(yong)戶位(wei)置或操(cao)作狀態（如生產、開發和(he)測試環(huan)境）分割(ge)應用(yong)程序。

在某些情況下(xia)，一家(jia)企業(ye)組織可能需要(yao)使用網(wang)絡分(fen)割，從而將(jiang)其附屬子(zi)和最近收購的、但還沒有被(bei)整合到企業(ye)IT基礎設施的獨立服務器獨立開(kai)來。在數據(ju)中(zhong)心使用網(wang)絡分(fen)割的決策，以減少安全(quan)威脅風險時，一家(jia)企業(ye)組織可能需要(yao)考慮幾(ji)個潛在的相互矛盾的因素。

文章編輯：CobiNet(寧波)  
本公司專注于電訊配件,銅纜綜合布線系列領域產品研發生產超五類，六類,七類屏蔽網線/屏蔽模塊及相關模塊配件, 我們是萬兆屏蔽模塊，10G屏蔽模塊，屏蔽線生產廠家。

歡迎來(lai)電咨詢0574 88168918,郵箱sales@aliance.cn，網址(zhi)aliance.cn