【TechTarget中國原創(chuàng)】盡管現(xiàn)在所有連接互聯(lián)網的計算機都安裝了Flash（Adobe問題不斷的Web多媒體格式），但是似乎它很快就會被新標準HTML5所替代。按照Adobe自己話說，“HTML5現(xiàn)在得到主流移動設備的普遍支持，并成為創(chuàng)建和部署面向移動平臺瀏覽器內容的最佳解決方案。”

對于企業(yè)攻擊者而言，這無疑是一個壞消息。近幾年來，F(xiàn)lash已經成為惡意程序黑客的主要攻擊目標。根據(jù)安全研究公司WhiteHat Security Inc.的數(shù)據(jù)，與Flash播放器相關的漏洞占他們發(fā)現(xiàn)的Web應用程序漏洞的14%左右。

那么，F(xiàn)lash的消失是否是一個安全利好消息？HTML5是否會替代Flash？如果會，那么HTML5安全性能否與Flash對抗？安全人員應該如何做好部署HTML5 Web內容的準備？下面，我們將會針對這些問題展開討論。

[page]

【TechTarget中國原創(chuàng)】將一種技術擴展到它原先的適用范圍之外，可能會產生其他的錯誤。HTML5是一種異步技術，但是開發(fā)者可使用JavaScript將它變成同步技術。如果一個事務在轉到下一個狀態(tài)之前必須獲取一個響應，那么必須仔細檢查業(yè)務邏輯控制機制，保證事務處理的順序是否正確，如數(shù)據(jù)庫事務。

安全團隊需要使用WebSocket API，它可以替代瀏覽器，向Web服務器請求最新的數(shù)據(jù)。服務器會在出現(xiàn)新數(shù)據(jù)時才發(fā)送數(shù)據(jù)，從而減少服務器與瀏覽器的流量。但是，WebSocket可以繞過許多重要的網絡安全控制機制，包括傳統(tǒng)的數(shù)據(jù)包頭，而防火墻正是通過檢查數(shù)據(jù)包頭來阻擋可疑流量的。基于信譽的防御也會受到影響。這樣就增加了防火墻進行深度內容檢測的負載，因為只有深度內容檢測才能夠處理WebSocket流量，檢查流量的內容、結構和用途。所以再說一次，白名單過濾的效率確實會更高一些。

企業(yè)安全的虛擬化漏洞越來越嚴重。虛擬防火墻可能是一種解決方法，但是還有許多因素需要考慮。

什么是虛擬防火墻？

虛擬防火墻是虛擬設備，它復制了物理防火墻的功能，運行在與所保護工作負載相同的虛擬環(huán)境中。因為它位于虛擬環(huán)境之中，所以它可以對通過物理網絡的流量應用安全策略，實現(xiàn)安全性而又不影響虛擬化的靈活性。虛擬防火墻不管虛擬機（VM）是否在數(shù)據(jù)中心內，還是飄到基礎架構即服務(IaaS)的云環(huán)境中。

為什么需要虛擬防火墻？

目前，97%以上的公司采用虛擬化服務器，而且數(shù)據(jù)中心內有53%的工作負載運行在虛擬服務器上。在從物理環(huán)境轉移到虛擬環(huán)境的過程中，物理網絡中服務器之間的安全結構也要么被丟棄，要么仍然作為物理系統(tǒng)進行維護。

當使用物理防火墻處理虛擬流量時，這種流量必須先路由離開虛擬環(huán)境，通過物理安全基礎架構，然后再返回虛擬環(huán)境。這種發(fā)夾式回路讓網絡更復雜、更脆弱，還降低了工作負載轉移能力。而且，隨著企業(yè)將業(yè)務擴展到IaaS環(huán)境，情況變得更為復雜。目前，有17%的公司使用了IaaS，越來越多的IT部門使用它處理客戶業(yè)務。

因此，顯然IT必須同時保證內部虛擬環(huán)境和外部網絡環(huán)境的安全性。虛擬防火墻則可支持這兩種環(huán)境。如果考慮在IaaS或其他共享云環(huán)境中使用虛擬防火墻，那么一定要保證所選擇的云提供商平臺支持公司內部使用的虛擬設備。如果虛擬設備只能運行在VMware中，而又需要在基于Xen或KVM的IaaS環(huán)境中運行，那么問題就很難解決。

為什么要為物理和虛擬防火墻應用統(tǒng)一的策略環(huán)境？

最好將虛擬和物理防火墻整合到同一個策略環(huán)境中，而且最好使用一個工具來支持兩種環(huán)境。單一環(huán)境意味著業(yè)務用戶能夠保證在整個數(shù)據(jù)流中使用相同的訪問控制機制。單一環(huán)境也意味著IT不需要：

•維護和同步并行環(huán)境的活動；
• 保留多種人員技能集；
• 繼續(xù)保持策略平等的跨平臺驗證；
•管理多個供應商和支持關系。

在一個理想的虛擬防火墻場景中，可以由一個防火墻供應商提供虛擬平臺在你需要的虛擬機管理程序下運行，并提供同時管理虛擬和物理設備的工具。

支持同時管理一個供應商的虛擬與物理設備的產品有：Cisco的Secure Policy Manager、McAfee的Firewall Enterprise Control Center和StoneSoft的StoneGate Management Center。雖然多供應商環(huán)境并不理想，但是有一些工具能夠管理多個供應商的防火墻解決方案。這些供應商包括FireMon和Tufin。

虛擬防火墻與IaaS是潛在問題

在開始解決IaaS的這些問題之前，首先要考慮IaaS的虛擬設備是否符合您的規(guī)范或安全架構。在IaaS環(huán)境中使用虛擬防火墻，即使是您所選擇的虛擬設備，都表示需要信任所選擇的云提供商，因為該環(huán)境的控制者能夠查看到虛擬機之間傳輸?shù)牧髁俊?/p>

如果不能確定對云平臺的信任，那么您必須使用基于主機的防火墻或VPN解決方案，過濾進出虛擬機的流量。但這樣會消耗更多的虛擬設備資源，因為比如一個數(shù)據(jù)包在一個設備上丟失，那么該設備之后所有服務器可能都會丟失它。然而，這些基于主機的防火墻或VPN解決方案不需要信任云提供商。

打破IT孤島 實施虛擬防火墻

最后，有一個非常實用的方面：系統(tǒng)、安全性和網絡人員不能孤立地部署虛擬防火墻。這三個團隊共同參與制定虛擬防火墻指南，確定虛擬防火墻實現(xiàn)的時間、方式和原因。這三個團隊都必須參與規(guī)劃和管理，并且共同監(jiān)控虛擬防火墻基礎架構。如果不合作，這三個團隊是是會給彼此帶來麻煩。