“瘦”防火墙时代结束
作者:万平国 来源于:中国计算机报
2004-5-14 11:01:23
安全技术变化,到底谁说了算?网络威胁日趋增多,防火墙如何一肩承担?所谓的多技术“联动”,究竟“联”在哪里?是否真的让安全“动”起来?本文与您探讨防火墙的今天和明天。


  安全技术怎么变?不是安全厂商说了算,也不是专家们说了算。用户要花钱买某种技术,厂商当然乐意去提供相应的产品。但用户不愿意花钱买,这样的技术说不定就会从市场上消失。因此,是市场决定技术怎么变。

  那么今天的安全市场是什么样子?安全的核心问题集中在网络病毒和垃圾邮件领域。有人认为,病毒和垃圾邮件不是防火墙解决的问题。可市场却选择了防火墙。今天安全市场上,用户花钱最多的是防火墙,然后是入侵检测、防病毒,用户可能没有花钱在防垃圾邮件上。用户花钱在防火墙上,不是他们认定防火墙该干什么或不该干什么,而是他们相信防火墙。用户花钱就为了解决面临的安全威胁,这就是市场。市场决定用户的要求,用户的要求决定防火墙技术的走势。

  防火墙平台化

  目前用户的要求促成了防火墙越来越像一个安全平台、解决方案,越来越集成化,而不再是一个功能单一的防火墙产品。最早的防火墙只是一个访问控制的包过滤,是一个最简单的防火墙。为了区分访问回来的包和别人主动来的包,防火墙发展了状态检测包过滤技术。为了解决应用协议的安全问题,防火墙发展了代理技术。为了解决信息泄露的问题,防火墙集成了VPN技术。为了区分用户,防火墙增加了身份认证技术,实现了基于角色(人)的访问控制。为了解决IP电话和视频的问题,防火墙要求支持H.323和SIP技术。防火墙本身就是这么发展过来的。

  今天哪家厂商的防火墙是一个单一功能的简单防火墙?防火墙平台化和集成化,并不意味着是胖防火墙时代的到来,但却意味着瘦防火墙时代已经结束。因为一个功能单一的瘦防火墙可能很好地解决了一个问题,但无法提供一个全面的网络安全问题的解决方案。DDOS一度是现在也是最难对付的攻击。不少厂商推出了专门的瘦防火墙,专门解决DDOS问题,但市场没有接受它。现在几乎所有的厂商都把抗DDOS的技术集成在传统的防火墙中,而不是采用一个专用的瘦防火墙。2003年一度被看好的入侵防御系统(IPS),也是一个单一功能的产品,市场没有单独接受该产品。

  市场推动防火墙平台化

  并不是用户喜欢平台化的防火墙,而是市场选择了平台化的防火墙。用户存在的安全问题,不是一个单一的问题,而是不断变化的由多个问题组成的复杂安全问题。因此,用户需要的是全面的安全解决方案,而不是简单地只能解决一个问题,满足某一项功能。用户无法接受每个瘦防火墙只能解决部分问题,然后要多个瘦防火墙才能解决网络存在的整体安全问题。从经济学角度来考量功能与价格比,瘦防火墙的性价比低,而平台化防火墙的性价比高。用户需要一个防火墙作为一个整体,可以解决全部的问题。瘦防火墙还存在一个问题,用户需要宝贵的地方来部署和存放。用户不愿意采用多个设备,无论是管理上、空间上、还是成本上,都不太容易接受。

  防火墙平台化不是简单地增加一些功能或模块,不是一个简单的胖防火墙。防火墙平台化更多是结构上的变化,是技术上的创新。像Checkpoint的应用智能和中网的智能防火墙,同传统的防火墙技术相比,完全是结构上的变化。他们解决了很多传统防火墙解决不了的问题。 防火墙平台化有时候也减少一些功能,如早期防火墙的代理多具有缓存的功能,现在一般都不再支持该功能。又例如,现在防火墙一般已经不支持市场已经淘汰的协议,如IPX等。

  “联动”评说

  防火墙平台化也走过一些弯路。最典型的就是“联动”。防火墙与入侵检测联动,是个好想法,却没有好结果。为什么?入侵检测的漏报和误报问题没有解决,导致入侵检测系统与防火墙错误地大量联动。还不完全如此,防火墙与入侵检测联动是不对称的。俗话说,文官提起笔,武官跑死马。入侵检测与防火墙联动,实际上导致防火墙被入侵检测控制。有些入侵检测每秒向防火墙发送几千条规则,几乎把防火墙给害死了。入侵检测与防火墙的联动,从某种意义上已经走到尽头。

  安全专家们发现,入侵检测与防火墙属于异构系统。异构系统的联动就像联合国一样,有不同的语言、不同的文化、不同的规则,只能协调,最多是妥协,经常无法达成一致意见。最近出现了对同构系统之间联动的研究。联动本身不会死亡,同构系统之间的联动,会有较大的发展,异构系统之间的联动会走向衰落。

  防火墙的变化趋势

  防火墙技术一直在变化。目前看到的防火墙技术的变化趋势是,一些强大的专项功能都会集成到防火墙中去。对抗每秒超过10万条以上的并发DDOS攻击,会成为防火墙的一项基本要求。DDOS攻击容易,解决难。Anti-DDOS研究成为防火墙的必备功能。IPS会集成到防火墙中去。防火墙中的IPS是对经过防火墙之后准许放行的数据进行检查,而不是在防火墙之前检查。IPS集成到防火墙中,使防火墙开始多极防御的时代。

  对付病毒攻击,分布式智能防火墙是未来的趋势。思科最近计划打造对病毒和黑客具免疫力的自防御网络,就是这样一套系统。无独有偶,美国防部正在寻求一套能够有效地探测到那些通过网络传播的蠕虫和病毒,并在其感染计算机之前将其隔离。这样,国防部对付病毒攻击的作法,将从原来实时探测、响应后修复系统,转变为在感染前即作出响应。Chechpoint已经推出一个简单的专用安全应用系统InterSpect,通过智能化内部传输检查来识别和拦截未获授权或恶意破坏的行为和个别攻击,以安全区阻隔阻止网络分区之间未获授权的数据传输,并隔离形迹可疑的内部计算机。

  防火墙依然是网络安全解决方案的核心。一般认为,防火墙并不适合去查杀病毒,但隔离病毒却派上了大用场。防火墙也不适合对垃圾邮件进行内容检查,但对垃圾邮件的发送者进行身份确认,限制发送的数量和频度,防火墙再度派上大用场。

  网络病毒和黑客给全球带来了数千亿美元的经济损失,作为全球性最严重的信息安全问题,仍然是信息安全领域的两大热点。防病毒、防黑客、防止内部用户乱用网络,是网络与信息安全的主流技术。防火墙会同时具备上述功能,并越来越成熟。


 
  山东装备制造业信息网 版权所有