如果我说：防火墙将退出IT舞台。你会不会觉得有点信口开河?多年来，依靠SPI(全状态数据包检测型防火墙)与代理防火墙机制保障安全几乎成了IT工作者们的金科玉律，脱离防火墙简直是无稽之谈。但是时代在发展，一切都不同了，对于面向互联网的大型服务器集群来说，防火墙的加入不过是陡增多余的故障点。

服务器前端不设置防火墙并不意味着我们无法对系统接入加以控制。或许你并不相信，关闭防火墙反而能在一定程度上提高网络及主机安全的可靠性与坚实性。下面，我们将从三个角度出发，论证为什么防火墙的退出能改善日常工作、帮助企业简化转型难题。

“不要防火墙”并不意味着“不要控制”

服务器前端不设置防火墙并不意味着我们无法对系统接入加以控制。事实上，现代操作系统中早已普及了路由器访问列表、基于主机的内置数据包过滤器等简单但可靠的技术，而这些机制完全能够提供足够的控制功能。边缘路由器能够很好地剔除异常数据包，同时帮助企业节约防火墙产品的开销。如果一台服务器仅监听443端口，那么它就应该成为边缘路由器的惟一开放端口并接收能通过服务器自身防火墙的访问请求。

另一种非常重要且有效的解决方案在于利用边缘路由器控制出站连接。攻击者必须与被攻破的主机进行通信才能实施进一步恶意活动，如果主机无法建立出站连接，那么攻击者也将无从下手。与互联网对接的服务器应该能与内部服务器沟通DNS及NTP协议、从内部补丁库中下载补丁并向内部日志服务器发送日志文件。然而一旦涉及对外服务，严密控制将使攻击者无机可乘。即使大家的企业无法接受彻底脱离标准网络防火墙的观念，也应将严格把控出站连接当作防火墙设置工作的重点。

主机拥有充足的自保能力

防火墙可用于多种用途，而目前其最主要的预定目标就是对孱弱或者糟糕的主机安全性提供支持。相比保护主机本身，很多系统管理者更乐于将系统隐藏在互联网防火墙之下，并认为一套状态化防火墙能够保护系统免受严重威胁。但我要遗憾地提醒大家，这种思路完全行不通。这种方案好比“掩耳盗铃”。

系统管理者们是时候认真了解自己的主机安全机制并启用内置隔离功能了，这样服务器才能从坐以待毙的窘境中摆脱出来，以积极姿态应对来自企业局域网或者外部互联网的猛烈攻势。每一种现代操作系统都提供多种访问控制方式，我们只要稍加配置就能使其生效。请记住，我们越是接近想要保护的信息、安全工作就越容易开展。

应对攻击数据保护是根本

对主机失去控制令人头痛，正如我们对正门上的涂鸦无可奈何一样。无论恶意人士是从正门闯入还是网络潜入，由此造成的数据丢失都属于很严重的后果。事实上，无论防火墙是否存在，主机都有可能被攻破。因此保护重要信息的工作应该从信息本身着手，而不能仅在周围部署一些防御机制、然后坐等攻击活动发生。

为了实现这一目标，我们需要采用合适的数据保护控制方案：加密、数据隐藏、归档甚至清除计划任务中的临时文件等。这一切都能降低主机被攻破后所引发的后续风险。如果被窃取的内容并不重要或者攻击者无法使用取得的信息，我们的企业也就不至于因为安全事件而登上新闻头条、更不可能违规事故的责任承担者。

除此之外，我们还应妥善分隔系统与应用程序管理流程中的职责与权限，尽量降低来自内部人员的潜在风险。系统管理员与网络管理员并不需要访问关键性业务数据的权限，应用程序拥有者也不需要拥有与操作系统管理员等同的权限。大家一定还记得将美国国家安全局拉入泥潭的斯诺登——他的作为是否正确姑且不论，但如果安全局方面能明确划分各岗位的具体权限，如今的麻烦也将不复存在。