首先,虽然它被广泛使用并部署,但从没达到大而不倒的规模。其次,IPsec十分复杂,并不是所有厂商都支持它。更糟的是,如果通讯双方中的一方支持IPsec,另一方如网关或负载平衡器不支持它,通讯经常会被破解。在许多公司中,IPSec通常作为可选项存在,强制使用它的电脑很少。
IPsec的复杂性也造成了性能问题。除非你在IPsec隧道两侧都部署专门硬件,不然它就会显著减缓所有用到它的网络连接。因此,大型的事务服务器,比如数据库和大多数Web服务器根本无法支持它。而这两类服务器恰恰是存储最重要数据的地方。如果你不能用IPsec保护大部分数据,它又能带来什么好处呢?
另外,尽管它是一个“公共”的开放标准,IPsec的实现却通常无法在各个厂商之间共用,这是另一个减缓乃至阻止IPsec被广泛部署的原因。
但对IPsec而言,真正的丧钟是HTTPS得到了广泛使用。如果你启用了HTTPS,就不再需要IPsec。这是个两者必择其一的选择,世界作出了它的决定。HTTPS赢了。只要你有一份有效的TLS电子证书,一个兼容的客户端,就能使用HTTPS:没有交互问题、复杂度低。存在一些性能影响,但对大多数用户而言微不足道。全球正迅速变成一个默认使用HTTPS的世界。在这个过程中,IPsec将会死亡。
No.5:防火墙
无处不在的HTTPS基本上宣告了传统防火墙的末日。早在三年前就有人写过相关文章,但三年过去,防火墙依旧无处不在。但真实情况呢?它们大多数未经配置,几乎全部都没有配备“最低容许度,默认屏蔽”规则,然而正是这种规则才让防火墙具备了价值。相信不少人都知道大多数防火墙规则过于宽松,甚至“允许所有XXX”这样规则的防火墙也不稀罕.这样配置的防火墙基本上还不如不存在。它啥都没干,只是在拖网速后腿。
不管你怎么定义防火墙,它必须包括一个部分:只允许特定的、预配置的接口,只有这样它才能算是有用。随着这个世界向着HTTPS化迈进,最终,所有防火墙都会只剩下几条规则:HTTP、HTTPS和DNS。其它协议,比如ads DNS、DHCP等等,也会开始使用HTTPS-only。事实上,很难想象一个不是以全民HTTPS化告终的世界。当这一切来临,防火墙何去何从?
湘ICP备2022002427号-10 湘公网安备:43070202000427号
© 2013~2024 haote.com 好特网