边界之争
由于拥护一些极端的安全理念,耶律哥论坛(JERICHO FORUM)近年来受到了不少业内人士的质疑。
耶律哥原是圣经中的一座古城,其城墙在所谓的圣战中坍塌,耶律哥论坛的名字就来源于此典故。论坛认为网络防护不该依靠外部硬件设施,而应当采用深度的防御。耶律哥论坛虽然没有全盘否定网络边界防御,但却极力强调了传统安全体系的局限性。该论坛支持用反边界(deperimeterization)理念来替代传统的安全体系,主要理由如下:
首先,互联网上的应用程序越来越多,而且以HTTP为基础的新协议也在不断诞生,因此传统的网络监测产品越来越没有用武之地了。
其次,在过去的六年间,原本针对服务器的网络攻击逐渐转向了客户端,这意味着与拥有隔离区(DMZ)的服务器相比,内部客户机更容易被攻破。现在,黑客们已经有相当的把握向你的网络核心发起攻击。
最后,时常脱离和进入安全体系的设备越来越多,传统的安全边界防御措施根本无法应付。
分层防御真的能取代网络边界统一威胁管理吗?完全不是。事实上,深度防御安全系统的缺点之一就在于它需要大量资源的支持。UTM在提供多样化防护措施的同时,简化了执行和管理,因此更易于实施附加的内部控制,使你的网络高枕无忧。
