防火墻無(wú)疑是目前網(wǎng)絡(luò)安全領(lǐng)域認(rèn)可程度最高、應(yīng)用范圍最廣的網(wǎng)絡(luò)安全技術(shù)，根據(jù)CCID提供的數(shù)據(jù)，今年防火墻占整個(gè)信息安全產(chǎn)品市場(chǎng)的38.7%，略高于防病毒產(chǎn)品，位居第一。在這一年中，防火墻技術(shù)本身有了怎樣的發(fā)展，又有什么新的思路和亮點(diǎn)呢？

由于防火墻技術(shù)已經(jīng)發(fā)展了很長(zhǎng)時(shí)間，技術(shù)已經(jīng)比較成熟，幾年來(lái)，其基本的框架和設(shè)計(jì)思路沒有太多的變化，所調(diào)整的不過是對(duì)一些新應(yīng)用的支持而已，在防火墻的基礎(chǔ)功能上有了一些功能項(xiàng)的擴(kuò)充。這樣就對(duì)我們選用防火墻時(shí)提出一個(gè)問題——各家的防火墻好像都差不多，該有的功能都有，而且，即使某家新出了一種模塊，很快別家也都有了，那么作為用戶來(lái)說(shuō)，究竟該如何選擇適合自己的防火墻產(chǎn)品呢？

兩種觀點(diǎn)左右防火墻發(fā)展

對(duì)于防火墻的發(fā)展，業(yè)界現(xiàn)在有兩種不同的觀點(diǎn)，一種認(rèn)為，防火墻處于網(wǎng)絡(luò)安全體系中最關(guān)鍵的部位，這個(gè)部位控制力度的優(yōu)劣直接影響到整個(gè)網(wǎng)絡(luò)的安全級(jí)別，所以防火墻就應(yīng)該具有強(qiáng)大的功能，應(yīng)該囊括訪問控制、入侵檢測(cè)、VPN、防病毒、內(nèi)容過濾、負(fù)載均衡、審計(jì)等各種功能，使各種安全威脅在網(wǎng)絡(luò)邊界就得到控制和消除，避免威脅滲透入網(wǎng)絡(luò)內(nèi)部的可能性，最大程度地保證系統(tǒng)整體的安全性。

兩種聯(lián)動(dòng)方式的比較

另一種觀點(diǎn)則認(rèn)為，網(wǎng)絡(luò)安全的目的是服務(wù)于網(wǎng)絡(luò)應(yīng)用，雖然安全性和應(yīng)用性是相互矛盾的，但安全方案應(yīng)該盡量使安全策略對(duì)系統(tǒng)應(yīng)用的影響降低的最小。正是由于防火墻的位置特殊，我們更應(yīng)該重點(diǎn)考慮防火墻的部署對(duì)于網(wǎng)絡(luò)應(yīng)用的影響。防火墻從其最初的設(shè)計(jì)思想以及其在信息安全方面的主要作用，就是為不同網(wǎng)段之間提供邏輯隔離手段，將不同級(jí)別的信任區(qū)域有效隔離，將網(wǎng)絡(luò)的安全策略的制定和信息的流動(dòng)進(jìn)行集中管理和控制，為網(wǎng)絡(luò)提供邊界一級(jí)保護(hù)，是安全體系中的大門，也是網(wǎng)絡(luò)防御中最主要的力量。從這個(gè)初衷出發(fā)，我們就應(yīng)該在保證防火墻在訪問控制中的作用的同時(shí)，提高它對(duì)數(shù)據(jù)流的處理能力。尤其隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，百兆網(wǎng)、千兆網(wǎng)、甚至萬(wàn)兆網(wǎng)都開始普及，如果防火墻自身的性能跟不上網(wǎng)絡(luò)應(yīng)用的步伐，防火墻就會(huì)成為網(wǎng)絡(luò)系統(tǒng)中的瓶頸，必將被用戶所拋棄。

在這樣的設(shè)計(jì)思路下，防火墻應(yīng)專注于自身性能的提升和運(yùn)行的穩(wěn)定性、可靠性的保證，也就是對(duì)吞吐量（Throughput）（RFC 2544）、丟包率（Frame Loss Rate）（RFC 2544）、背靠背（Back-to-back）（RFC 2544）、延遲（Latency）（RFC 2544）、最大并發(fā)連接數(shù)（Concurrent Sessions）（RFC 2647）、最大策略數(shù)、最大Session數(shù)、DES和3DES下的性能表現(xiàn)加大研究力度，提高這些參數(shù)在防火墻系統(tǒng)中的表現(xiàn)能力。而防火墻的功能，應(yīng)該力求簡(jiǎn)單可靠，可以確保其訪問控制能力正常有效地運(yùn)轉(zhuǎn)。因此，對(duì)于那些對(duì)設(shè)備資源占用較大的其他功能，比如入侵檢測(cè)、VPN、防病毒、內(nèi)容過濾、負(fù)載均衡、審計(jì)等都應(yīng)該從防火墻中剝離出去，這些防護(hù)手段可以通過與防火墻建立共同接口，以一種聯(lián)動(dòng)的方式建立立體的、層次化的防護(hù)體系。

不同的防火墻適用者不同

其實(shí)兩種觀點(diǎn)并不矛盾，恰恰相反，其基本出發(fā)點(diǎn)都是一致的，而且也反映出信息安全思想和相關(guān)知識(shí)已經(jīng)在廣大用戶中得到了普及和認(rèn)可，并且，用戶的安全意識(shí)也在不斷深入。我們常說(shuō)，安全是動(dòng)態(tài)的、立體的、全面的體系，是一個(gè)過程，僅僅一個(gè)防火墻是不可能解決所有安全問題的，這需要其他的手段相互支持、補(bǔ)充，所以需要IDS，需要VPN，需要防病毒。防火墻發(fā)展中所遇到的這些爭(zhēng)論也正說(shuō)明該體系概念的深入人心，只是在具體的表現(xiàn)方式上有所不同。而這種分歧也可以說(shuō)是一種客戶導(dǎo)向所致，客戶網(wǎng)絡(luò)建設(shè)的不同，客戶應(yīng)用的不同，客戶安全要求的不同，以及客戶安全預(yù)算的不同就造成了對(duì)防火墻的不同發(fā)展需求。

針對(duì)第一種觀點(diǎn)，我們可以認(rèn)為這是中小型、非以網(wǎng)絡(luò)為經(jīng)營(yíng)盈利方式的企業(yè)應(yīng)用模式，他們對(duì)于安全的需求是用最少的投資得到最高的安全保障，甚至可以說(shuō)，他們希望用最少的投資得到既可以滿足網(wǎng)絡(luò)應(yīng)用，又可以保障其網(wǎng)絡(luò)安全的一攬子方案。那么，對(duì)于這種類型的需求，最好是在必不可少的防火墻上，同時(shí)能擁有各種安全防護(hù)手段，可以防病毒、入侵檢測(cè)、加密傳輸。如果有可能的話，這個(gè)防火墻還可以提供各種網(wǎng)絡(luò)應(yīng)用，比如公司的WWW、MAIL等服務(wù)。在國(guó)外，這種需求的客戶很多，相應(yīng)地，也有許多廠家提供了這類的產(chǎn)品。

對(duì)于第二種觀點(diǎn)，本人認(rèn)為，是體現(xiàn)了安全的真正發(fā)展方向，也是提高安全性能的最有力的方式。通過一種分布式的、協(xié)作的方式，充分利用網(wǎng)絡(luò)的力量，將每種技術(shù)中功能、性能最好的產(chǎn)品通過開放式的協(xié)議聯(lián)系起來(lái)，進(jìn)行互動(dòng)，每種產(chǎn)品可以專注于自身技術(shù)的發(fā)展、完善和優(yōu)化，實(shí)現(xiàn)優(yōu)化組合的巨大力量。這種方式適合于網(wǎng)絡(luò)應(yīng)用，在企業(yè)運(yùn)行中地位相當(dāng)重要、安全需求很高、對(duì)于安全的投資力度也比較大的應(yīng)用環(huán)境，比較典型的就是ISP、電信、金融等大型網(wǎng)絡(luò)。這類產(chǎn)品很多，許多大的安全廠商都致力于這方面的研究，也積極地推出這種方式的標(biāo)準(zhǔn)。

文章錄入：csh    責(zé)任編輯：csh 

最新評(píng)論