防火墙，处处都是防火墙

只要当防火墙能够显著削减危害，而且你能认识到它们会诱发扩展性和可用性问题时，才运用防火墙。合用情景:无论什么时候都合用。只对听从pi和pci等法例的重要数据采用防火墙。对价值低的静态数据，不要采用防火墙。防火墙会低落可用性，形成不须要的护展瓶颈。尽管防火墙颇有效，但它们常规会被滥用，若是设计或施行不妥，可用性和扩展性城市受影响。
决议采用哪一种安全措施终极应该从利润最的方面思索。常规安全措施只是削减危害的一种要领。而危害则是发生某个动作且该动作会形成影响或损害的能够性。防火墙经由过程减小事宜发生的能够性来低落危害。采用防火墙会有些分外的开支，对可用性也会有必然的影响(从而也会影响到收益和客户合意度)，常规还会影响扩展性，在网络流量或事务数目方面形成扩展瓶颈。遗憾的是，许多公司都把防火墙看做独一的安全伎俩。他们滥用防火墙，却没有充实行使其余更安全的措施。

关于防火墙对可用性的影响，咱们不克不及轻描淡写一笔带过。按照咱们的教训，形成站点故障停工的重要起因是数据库故障，其次就是防火墙故障。统一样地，这个准则就是要削减防火墙的数目。可是要记住，在你削减不须要的或过剩的防火墙的同时，另有不少其余关系到安全性的工作要做。按照咱们的教训，应把防火墙看做一种周边安全设备。也就是说，它会添加商品的感知本钱和理论本钱。就这一点而言，防火墙的功用与房间的门锁相似。事实上，咱们]以为屋子这个比喻很适合注明怎样看待防火墙，所如下面就以这个比喻为根蒂根基进行注明
在你的屋子中，有几块区域很能够没有上锁。比方，你能够不会给前院上锁，还能够会把一些相对于较廉价的东西放在前院里，如浇水的软管和园艺工具。你还能够会把自行车放在前院中，尽管你知道把它放在车库中，贼更不易偷走它。更有能够，你给后门也上了锁，以至另有门栓，浴室和卧室能够也有小型的隐私锁。而屋子的其余房间，包括衣橱等，能够都没有锁。为甚么要区分看待差别的区域呢?
屋子室外的区域，尽管对你来讲颇有价值，但对他人来讲，却没有值得偷窃的价值。即便你很器重本身的前院，可是也不会以为有人愿意拿着铁锨来把它挖走，移到别处去。你能够会担忧有人骑车压过它，粉碎了草坪或花酒头，但这类担忧还缺乏以让你费钱用栅栏(并不是装饰性的那种)把它围起来，粉碎了本身和邻人的精良视线。
室内装置锁的目的只是为了庇护隐私。大大都室内的门并无为了防止猎奇者的窥视而装锁。咱们并无给大大都的室内门上锁或门栓，由于它们只会给咱们带来贫苦，这些锁带来的安全感还对消不了它们形成的贫苦。
此刻想一想你的商品。有些方面的内容，如静态图象、css文件、javascript文件等，它们对你来讲虽很重要，但其实不需求高真个安全措施。在许多情况中，都是经由过程外部网络的边缘缓存(或内容分发网络)来传输这些属性的。一样地，不该该让这些对象再颠末分外的枢纽关头(防火墙)来低落全局可用性，由于分外的网络瓶颈限定了扩展性。确保经由过程公有ip地址和端口80与443通报这些对象，这不只可以节俭本钱还能削减防火墙的负载。
再转头看看防火墙的价值和本钱，让咱们研讨一个体系，行使该体系，可以决议什么时候何地应该施行防火墙。咱们曾经引见过，防火墙会让咱们支出如下的价值，即购置防火墙的建设本钱。有了防火墙，还要对它进行分外的扩展，而上且它在事务的关键线路上添加了设备，有能够出故障或引提问题，从而对可用性也形成为了影响。咱们也引见过防火墙的价值，即它可以阻挠或者阻碍那些想偷窃或者损害咱们商品的举动。
起首是数据对进犯者的价值与施行防火墙的本钱根本上成反比。尽管二者关系并不是老是云云，但对咱们许多客户的商品来讲的确云云。静态对象援用是页面上的主要对象要求，常规也是页面上至多的元素。因而，跟着事务处置速率和吞吐量的添加，防火墙的本钱会添加。在你想到它们对进犯者来讲毫无价值时，就会感觉防火墙更贵。思索到防火墙会对可用性发生的影响以及购置防火墙的本钱，而这类数据又不是进犯者的主要方针以是该种数据不值得云云投咨。对干这类数口要f保它们运用的是公有ip空间(如10.x.y.z)，而且只要经由过程端口80和443的要求才气访问它们便可。
不外，另外一方面，咱们另有诸如信用卡号、银行账户信息和社会保障编码如许的数据。这些数据对进犯者具备很高的价值。庇护这类数据的本钱相对于付庇护其余对象来讲较低，由于它们的要求频次比其余对象低。这类对象，咱们绝对应该锁定。
对付咱们的平台所服务的其余要求，没有须要确保一切的客户搜索都颠末防火墙。那末咱们庇护甚么，服务器自身吗?咱们可以庇护本身的资产，经由过程包过滤、路由器和运营商关系等，使它们免于遭到散布式回绝服务之类的进犯。行使限定访问零碎的端口的体式格局能够会失败。若是进犯者对这些服务并无极趣，那末咱们也没有须要把它看成皇冠上的珠宝，破费大量的款项，以低落可用性为价值来庇护它们。
简而言之，不要假如一切数据都需求等同级此外庇护。是否采用网页设计防火墙是一项商业决议，该决议要能够在就义可用性添加本钱的情况下低落危害。太多公司把防火墙看做一元的决议，即若是咱们的站点有防火墙，那末一切要求都要颠末防火墙，但事实是，防火墙只是泛滥用于低落危害的工具之一。在你的商品中，并不是一切数据都值得经由过程添加本钱及就义可用性来庇护。与其余任何一项商业决议一样，是否采用防火墙也需求权衡，而不是在施行中采用千篇一概的要领。思索到防火墙的特点，从商品的扩展方面来看，它很容易成为最大的瓶颈。