我說的并不是基于內容防止對某些網站訪問的設施或者阻止P2P應用程序的過濾器，我說的是當異常數據從內部主機通過防火墻時，積極阻止或者發(fā)出警報的設備。例如，在秘魯工程設計公司工作的人不太可能會發(fā)送大量數據到俄羅斯網站，如果過濾器或者網絡流量監(jiān)控發(fā)現了這個不尋常的活動，這些公司就不會損失數以萬計的藍圖，但他們的防火墻輕易地讓這些機密信息發(fā)送了出去。

我們現在面臨著越來越多的內部威脅，不僅僅是病毒和諸如此類的威脅，還有間諜活動。最近有一些傳聞稱，在國外生產的計算機硬件的芯片中可能包含木馬程序，允許對任何敏感設備進行遠程控制，為攻擊者廣開后門。

不要認為這是不可能的事情，這在技術上是可行的。打擊這種深入入侵的唯一辦法就是對離開網絡的數據進行嚴格地監(jiān)控。我敢打賭，現在的絕大多數的企業(yè)基礎設施都沒有這種能見度，而使用這種監(jiān)控技術的人甚至沒有意識到這種威脅。

但我們如何對出站流量進行控制?在第四層鎖定防火墻的內部并不能防止數據泄露，即使你明確阻止屬于外國或者競爭對手的IP地址范圍。創(chuàng)建和維護這樣一個黑名單是徒勞無功的。

處理這種情況的唯一方法是使用深度數據包檢測，并且在數據包出網絡之前，對每個數據包進行檢查。例如NIKSUN的NetDetector設備就可以實現這一目的，它可以被配置為當經過的流量符合某種模式、包含某種文件或者顯示出特定文本字符串時，就會發(fā)出通知。當然，使用重型加密可以規(guī)避這些觸發(fā)器，但如果突然出現發(fā)往未知IP地址的加密流量時，仍然需要進行深度檢測，你就可以立即確定內部來源，因為你有完整的數據包流。

試想一下這樣的情況，主要硬件制造商在不知情的情況下將嵌入木馬的芯片放入防火墻產品本身中，你可以通過防火墻查看所有經過的流量，但你可能無法發(fā)現有些數據已經被復制或者發(fā)送到另一站點。這種木馬甚至還可能在內部緩沖敏感數據，在正常流量中緩慢穩(wěn)定地釋放這些數據以降低其能見度。

數據也可能通過蜂窩數據供應商，這樣在企業(yè)基礎設施內就沒有任何該數據存在的痕跡，雖然一些數據中心有很少或者沒有蜂窩接收，但大部分數據中心都有。這也是讓企業(yè)IT安全人員夜不能寐的事情。

在IT的很多方面，預先得到警報就能預先做好準備。追求真正的網絡安全和能見度是一場持續(xù)不斷的斗爭，即使我們得到很多預先警告，但還是不能確保我們能夠打贏這場戰(zhàn)爭。但這并不意味著我們就應該退出這場斗爭，如果你現在沒有監(jiān)控你的出站流量，那就應該盡快計劃進行監(jiān)控。不管你是從NTop還是從NIKSUN過濾設備開始，這都是值得的投資。