柏拉图曾经说过，像亚特兰蒂斯古城这样充满先进技术和工程壮举的世界，我们永远将无缘再见。虽然亚特兰蒂斯的最高统治者亚特兰斯用黄金和白银铸造了奇伟的城墙，并一心想要征服浩瀚的大海，但他们却无法遏制汹涌的潮水和愤怒的神将亚特兰蒂斯及其壮丽世界沉入海底。

 

中国古人亦有诗云：万里长城今犹在，不见当年秦始皇。

长话短说，言归正传。当今的企业又何尝不是固守在同样的城墙之内，城墙之外却危机四伏，无休止的网络安全威胁就像亚特兰蒂斯城外的潮水一般汹涌澎湃，只是城内的亚特兰斯们已经没有了当年的傲慢。伴随着企业间的连接变得越来越普遍，我们也构建了日益复杂的防火墙，来保护我们的数据免受恶意之入侵。

而现在，筑墙御敌的时代已成穷途末日。再坚固的城墙也无法抵挡潮流的浩浩荡荡，过去的防火墙只能用来查漏补缺。当洪水来袭时，百尺城墙也将不堪一击而轰然倒塌，要想活下去惟一能做的，就是学会中流击水，做时代的弄潮儿。

　　防火墙只不过把网络当做城堡

防火墙是今天安全业的标杆。一般的想法是，防火墙和入侵防御系统(IPS)放置在网络的外围，用以创建不可信外部与可信内部之间的边界。位于可信内部的各系统可以畅通无阻地处理其合法业务，而潜在的入侵者则都被封锁在防火墙之外。

这种方法和亚特兰蒂斯位建造用于防御外敌入侵的城堡并无二致，都是创建带有内部安全区域、外部危险区域、并且完整清晰用于防御的一道墙。假设这种战略在技术和战术永不改变的情况下，的确能够起到很好的防御作用。

然而，这种假设从来都只是假设。中世纪的城堡一直在随着技术和战术的进步不断发展，从简单的木制堡垒到石彻堡垒，而后又使用护城河来防止在城墙底下挖隧道攻破城墙。就像防火墙也一直在随着入侵技术的进步不断发展一样，目前已经进化到能够执行深度包检测和其他能力。但所有的这些创新都忽略了一个事实，那就是城堡被拿下，往往都通过内部完成的。同样的，大多数网络安全泄露也都并不是试图全面禁用防火墙的正面攻击。通常情况下的网络安全泄露都是从小处着手，通过恶意软件进入很小的漏洞，然后感染某台机器。所谓千里长堤，溃于蚁穴，就是这个道理。

恶意软件真正进行的恶意行为一般是进行数据的窃取，或通过所攻陷的机器对其他目标发起新的攻击，通常是出站攻击。防火墙和入侵防御系统很难对出站流量进行预警，因为这些流量来自被认为的“可信”环境。

(责任编辑：安博涛)