No.4：IPSec

如果启用，IPsec会保护两点或多点间数据传输的完整性和隐私性，也即加密。这项技术发明于1993年，在1995年成为开放标准。数以百计的厂商支持IPsec，数百万计的计算机使用它。

不像本文中提到的其它例子，IPsec真的有用，而且效果很好，但它却有着另一方面的问题。

首先，虽然它被广泛使用并部署，但从没达到大而不倒的规模。其次，IPsec十分复杂，并不是所有厂商都支持它。更糟的是，如果通讯双方中的一方支持IPsec，另一方如网关或负载平衡器不支持它，通讯经常会被破解。在许多公司中，IPSec通常作为可选项存在，强制使用它的电脑很少。

IPsec的复杂性也造成了性能问题。除非你在IPsec隧道两侧都部署专门硬件，不然它就会显著减缓所有用到它的网络连接。因此，大型的事务服务器，比如数据库和大多数Web服务器根本无法支持它。而这两类服务器恰恰是存储最重要数据的地方。如果你不能用IPsec保护大部分数据，它又能带来什么好处呢？

另外，尽管它是一个“公共”的开放标准，IPsec的实现却通常无法在各个厂商之间共用，这是另一个减缓乃至阻止IPsec被广泛部署的原因。

但对IPsec而言，真正的丧钟是HTTPS得到了广泛使用。如果你启用了HTTPS，就不再需要IPsec。这是个两者必择其一的选择，世界作出了它的决定。HTTPS赢了。只要你有一份有效的TLS电子证书，一个兼容的客户端，就能使用HTTPS：没有交互问题、复杂度低。存在一些性能影响，但对大多数用户而言微不足道。全球正迅速变成一个默认使用HTTPS的世界。在这个过程中，IPsec将会死亡。

　　No.5：防火墙

无处不在的HTTPS基本上宣告了传统防火墙的末日。早在三年前就有人写过相关文章，但三年过去，防火墙依旧无处不在。但真实情况呢？它们大多数未经配置，几乎全部都没有配备“最低容许度，默认屏蔽”规则，然而正是这种规则才让防火墙具备了价值。相信不少人都知道大多数防火墙规则过于宽松，甚至“允许所有XXX”这样规则的防火墙也不稀罕.这样配置的防火墙基本上还不如不存在。它啥都没干，只是在拖网速后腿。

不管你怎么定义防火墙，它必须包括一个部分：只允许特定的、预配置的接口，只有这样它才能算是有用。随着这个世界向着HTTPS化迈进，最终，所有防火墙都会只剩下几条规则：HTTP、HTTPS和DNS。其它协议，比如ads DNS、DHCP等等，也会开始使用HTTPS-only。事实上，很难想象一个不是以全民HTTPS化告终的世界。当这一切来临，防火墙何去何从？

防火墙提供的主要防御功能是保护脆弱的服务免遭远程攻击。具有远程脆弱性的服务通常极易破坏，远程利用缓冲区溢出是最常见的攻击方式。看看莫里斯蠕虫(Robert Morris Internet worm)、红色警戒(Code Red)、冲击波(Blaster)和蓝宝石(SQL Slammer)吧。你能回忆起最近一次世界级缓冲区溢出蠕虫攻击出现在哪年吗？应该不会超过本世纪头几年。而这些蠕虫都还远不及上世纪八九十年代那些的威力。基本上，如果你不使用未打补丁、存在漏洞的监听服务，就不需要传统防火墙。你现在就不需要。对，你没听错。你不需要防火墙。

一些防火墙厂商经常鼓吹他们的“高级”防火墙拥有传统产品远不能及的功能。但这种所谓的“高级防火墙”只要它们进行“数据包深度检查”或签名扫描，只会导致两种结果：其一，网速大幅度下降，返回结果充斥着假阳性；其二，只扫描一小部分攻击。大多数“高级”防火墙只会扫描数十到数百种攻击。如今，每天都会出现超过39万种新型恶意软件，这还不包括那些隐藏在合法活动中无法识别的。

即使防火墙真的达到了他们宣称的防护级别，它们也不是真的有效。因为如今企业面临的两种最主要的恶意攻击类型是：未打补丁的软件和社会工程。

这么说吧，是否配备防火墙都一样被黑。也许它们在过去表现太好了，导致黑客转向了别的攻击类型。但不管是什么原因，防火墙如今已经几乎没有用了，从过去十年前这个趋势就开始了。

　　No.6：反病毒扫描

恶意软件数量目前在数千万到上亿级别，其具体数字取决于你相信谁给出的数据。一个压倒性的事实是，反病毒扫描软件几乎已经没有用了。

但也并不是完全没用，因为它们会阻挡80到99.9%对普通用户的攻击。但普通用户每年都会接触到成百上千的恶意程序。哪怕用户手气再好，坏人也会时不时地赢上那么一两次。如果你的PC一年都没有接触到恶意软件，你一定是做了什么特别的事情。

这并不是说我们不应该为反病毒厂商喝彩。为了对抗天文数字的赔率，他们的工作量巨大。我想不到有任何一个产业能够应对恶意软件数量如此快速的增长，而且使用的还是自上世纪八十年代以来就存在的老技术，在那时候只有几十种病毒需要检测。

真正杀死反病毒扫描软件的不是恶意软件的数量，而是白名单。当今的普通计算机会运行所有你安装的程序。这使得恶意软件到处都是。但电脑和操作系统厂商已经开始改变“见什么运行什么”的模式，以提升用户的安全性。这项运动和杀毒软件是对立的。后者的逻辑是，让一切运行畅通，除了包括那些含有已知的那5亿反病毒签名的软件。“默认运行，例外禁止”正被“默认禁止，例外运行”所代替。

当然，电脑上早就有白名单程序了，也就是应用控制软件。我在2009年回顾了一些受欢迎的此类产品。问题在于：大多数人不使用白名单，即便它是内置的。最大的障碍？用户担心不能再安装所有那些乱七八糟的东西了，而且批准能在用户系统上运行的所有软件也是一项令人头疼的工程。

然而恶意软件和黑客攻击正日益普遍，厂商开始在默认情况下启用白名单。苹果的OS X系统在三年前推出了一项默认白名单功能，被称为Gatekeeper。iOS设备使用白名单机制的历史更长，除非越狱，它们只能运行被批准在App Store上架的应用。苹果漏掉了一些恶意软件，但这项工程对于阻止针对流行操作系统和程序的大量恶意软件功不可没。

微软在更早的时候就通过软件限制策略(Software Restriction Policies)和AppLocker引入了类似机制。Windows10带来的DeviceGuard则有力地推动了这项工程。微软的Windows商店采取了和苹果App Store类似的保护机制。尽管微软不会默认开启DeviceGuard，也不会默认只运行从Windows商店上安装的应用，但白名单功能已经相对健全，也比以前更易用。

一旦白名单变成了多数操作系统上的默认选项，对恶意软件而言就是游戏结束的时间，然后，对反病毒扫描软件而言也是如此。很难说人们会想念两者之中的任何一个。

　　No.7：反骚扰过滤

骚扰邮件仍旧占全网邮件数的一半。多亏了反骚扰过滤，你可能没有注意到这一点。反骚扰过滤真的实现了那些反病毒厂商声称的精确性，不过它们每天仍旧会漏过数以十亿计的邮件。只有两件东西可以阻止骚扰：通用的、普适的、高安全性的认证和更具结合性的国际法。

垃圾邮件发送者仍旧存在，因为我们很难轻易抓住他们。但随着互联网日益成熟，普适性的匿名将被高可信度的身份所代替。到那时，如果一个人给你发邮件说有一麻袋钱要寄给你，你能够同时确定他是否真的是他。

只有通过对每个用户的登录都采取双因素验证，才能实现高可信度的身份，然后则是高可信度的计算机和网络。发送者和接受者之间的每一个齿轮都会有更高的可靠性。这种可靠性是通过无处不在的HTTPS提供的，但要确认你就是你，还需要加入额外机制。

今天，几乎所有人都可以声称自己是某某，而我们并没有普适性的方式来验证他的说法。这将会改变。几乎每一种我们依赖的关键基础设施：交通、电力等等都需要这样的身份凭据。互联网现在还处在狂野西部的时代，但它作为基础设施的本质日益凸现，几乎必然向身份凭据化的方向发展。

国际边境问题一直在给起诉网络犯罪造成麻烦，它很可能在不久的将来得到解决。目前，许多国家不接受其它国家签发的证据和搜查令，这让逮捕诸如垃圾邮件发送者和存在其它恶意行为的人几近不可能。你可以随便收集证据，但如果攻击者的所在国不执行搜查令，你的案子就完蛋了。

随着互联网日趋成熟，那些不深挖互联网上最大的犯罪集团的国家将被惩罚。这些国家可能被登入黑名单。事实上，有些国家已经在上面了。举个例子，很多公司和网站都会拒绝所有来自中国的流量，不管它是不是合法。如前所述，一旦我们能够辨认出罪犯和他们的所属国家，其所属国家将被迫作出反应，不然就会受到惩罚。

垃圾邮件争先恐后地挤满你邮箱的好日子已经到头了。普适性的身份和国际法的变化将给垃圾邮件盖棺，当然还有那些专门打击它们的安全技术。

　　No.8：抗DDoS

值得庆幸的是，上述的普适性身份保护也会为拒绝服务攻击和其相关防御技术鸣起丧钟。

如今，任何人都可以使用免费的互联网工具，向任意网站发送数以十亿计的数据包。大多数操作系统都内置有拒绝服务攻击保护，也有几十家厂商能够在你被巨量虚假流量攻击时提供保护。但取消普遍的匿名性将制止所有发送拒绝服务流量的攻击者。一旦我们能够找出他们，就可以逮捕他们。

这样想一想：在上世纪二十年代，美国有很多即猖狂又著名的银行抢劫犯。银行最终加强了他们的防护，警察也能更好地识别和逮捕罪犯。强盗们仍然会袭击银行，但很少抢到钱，而且几乎总能被抓住，特别是当他们坚持要抢更多的银行时。同样的情况也会发生在拒绝服务攻击者身上，只要我们能够快速识别他们，迟早他们会带着那些让人无可奈何、头疼不已的作恶手段消失殆尽。

　　No.9：大体量事件日志

对计算机安全事件进行检测和警报是困难的。每台电脑每天都会产生数以万计的事件。如果将它们都存储在一个集中的日志数据库，你的存储空间很快就会爆炸。如今的事件日志系统通常以其磁盘存储阵列规模巨大而自居。

唯一的问题：这类事件日志记录没有用。几乎所有收集到的事件包都没有用并保持着未读状态，存储这些毫无用处的未读文件会带来巨大的存储成本，有些东西必须被放弃。很快，管理员就会要求应用和操作系统厂商提供给他们更多的信号和更少的噪声，去除那些没有价值的通常日志。换句话说，事件日志厂商很快就会开始吹嘘他们占用的存储空间有多小，而不是多大。

　　No.10：匿名工具

最后，任何关于匿名性和隐私的遗迹都将被彻底抹去。我们早就不需要它们了。在这个主题上，推荐一本新书，布鲁斯·施奈尔的《数据与歌利亚》(Data and Goliath)。如果你还没有意识到自己还剩下的隐私和匿名性有多么少，快速阅读它，它可能会吓到你死。

即使那些认为藏在Tor或者其它“暗网”设施中能够给自己带来一点匿名性幻觉的黑客也必须了解到警察逮捕网络犯罪者是多么神速。匿名者的中流砥柱们一个个被逮捕，在法庭上被指证，并被判了真实的刑期，有着真实的服刑代码，和他们的真实身份挂钩在一起。

事实是，匿名工具没有用。很多公司，当然也包括执法部门，已经知道你是谁了。未来唯一不同的是，每个人都会心中有数，停止假装他们能够隐藏自己，在网上保持匿名。

希望政府能够通过一项保障隐私的消费者权利法案，但过去的经验告诉我们，太多的公民愿意放弃隐私权，换取保护，这已经是除了互联网以外所有其它领域的准则。互联网是不是下一个，我们走着瞧~

(责任编辑：安博涛)