專家觀點(diǎn)：在物聯(lián)網(wǎng)時代確保通訊安全

　　根據(jù)Sophos調(diào)查，全球每人平均擁有2.9臺裝置，例如智慧型手機(jī)、智慧型手表、筆記型電腦和平板電腦等，這些新而多樣化的裝置每天頻繁的存取服務(wù)供應(yīng)商網(wǎng)路，因此不讓人驚訝的是網(wǎng)路運(yùn)營商希望能夠只為那些有需要和通過核準(zhǔn)的通訊提供支援。再者，Cisco也預(yù)測到2017年，總裝置數(shù)量將成長到每位網(wǎng)際網(wǎng)路使用者擁有5臺，可以預(yù)見的是服務(wù)供應(yīng)商網(wǎng)路流量將繼續(xù)增加──大幅的增加。

　　這所有連接網(wǎng)際網(wǎng)路的新用戶端裝置都需要仰賴一個安全的網(wǎng)域名稱系統(tǒng)(Domain Name System，DNS)架構(gòu)，以便可靠的回應(yīng)它們所需要的服務(wù)。因此當(dāng)物聯(lián)網(wǎng)(internet of things，IoT)演變至所有物件的聯(lián)網(wǎng)(internet of everything)──非僅人對機(jī)器(people to machines)而且包括機(jī)器對機(jī)器(machines to machines)，加上攜帶自己的任何東西去上班(BYOX)以及穿戴式裝置的internet連網(wǎng)等，其結(jié)果使得惡意流量侵入固網(wǎng)與無線網(wǎng)路的機(jī)會急遽增加。最近，HP的一項物聯(lián)網(wǎng)研究報告指出，70%的IoT裝置有遭受攻擊的風(fēng)險，而平均每一產(chǎn)品有25項安全弱點(diǎn)。

　　F5最近委托的一項IDG Research調(diào)查顯示，負(fù)責(zé)DNS服務(wù)的網(wǎng)路管理者有66%對于安全性表示高度關(guān)切。確實(shí)如此，可供用戶存取的服務(wù)不斷增加，而這也意謂著攻擊者有更多機(jī)會散播惡意程式和病毒。當(dāng)用戶選擇一項服務(wù)、下載資料、觀看網(wǎng)頁或點(diǎn)擊連結(jié)時，其所獲得的回應(yīng)即可能包含用戶所不知的惡意程式或病毒。一旦開始進(jìn)行資料傳輸，就可能在不知情的情形下遭到感染。

　　過濾器或防火墻?

　　為了讓你的服務(wù)維護(hù)尖峰效能以提供最好的用戶使用經(jīng)驗和服務(wù)可用性，你的網(wǎng)路必須阻斷那些來自非法程式與網(wǎng)站的惡意通訊。許多DNS方案藉由提供外送(outbound)網(wǎng)域過濾功能以防范惡意通訊，而此種過濾功能通常被稱為DNS防火墻。

　　實(shí)際上這項功能就是Response Policy Zones (RPZ)，它可以協(xié)助過濾被列入黑名單的網(wǎng)域。為了阻斷惡意網(wǎng)域，我們可以尋找允許選擇網(wǎng)域過濾服務(wù)和輸入IP位址資料庫的方案，以便能夠在客制化設(shè)定使用者瀏覽權(quán)和防范病毒方面享有最大的彈性。RPZ應(yīng)該被納入整體網(wǎng)路安全策略之內(nèi)。

　　當(dāng)你希望開始為網(wǎng)路通訊過濾惡意網(wǎng)域時，具備DNS安全性、延展、效能與管控能力的BIG-IP Global Traffic Manager (GTM)方案可以提供諸多DNS防火墻效益，包括RPZ網(wǎng)域過濾。你可以將一個網(wǎng)域聲譽(yù)服務(wù)輸入到BIG-IP GTM，阻斷惡意IP網(wǎng)域存取，以降低服務(wù)供應(yīng)商網(wǎng)路的惡意程式與病毒通訊風(fēng)險和舒緩DNS威脅。再者，它能快速提供有關(guān)被阻斷網(wǎng)域的日志(log)與報表，讓你知道網(wǎng)路上有那些用戶端具有潛在的感染風(fēng)險，以便快速檢測和降低清除感染所需的成本。

　　BIG-IP藉由減少不必要的通訊，以更高服務(wù)效能滿足用戶的需求。BIG-IP平臺具備ICSA網(wǎng)路安全認(rèn)證，并且可以輕易的選擇多種DNS安全服務(wù)以提升整體安全性。如此，你將擁有更大的信心和管控能力，讓更多物聯(lián)網(wǎng)裝置連接你的服務(wù)，同時過濾和減少惡意通訊。