防火墙是关键控制还是全网服务
由于防火墙技术已经发展了很长时间,技术已经比较成熟,几年来,其基本的框架和设计思路没有太多的变化,所调整的不过是对一些新应用的支持而已,在防火墙的基础功能上有了一些功能项的扩充。这样就对我们选用防火墙时提出一个问题——各家的防火墙好像都差不多,该有的功能都有,而且,即使某家新出了一种模块,很快别家也都有了,那么作为用户来说,究竟该如何选择适合自己的防火墙产品呢?
两种观点左右防火墙发展
对于防火墙的发展,业界现在有两种不同的观点,一种认为,防火墙处于网络安全体系中最关键的部位,这个部位控制力度的优劣直接影响到整个网络的安全级别,所以防火墙就应该具有强大的功能,应该囊括访问控制、入侵检测、VPN、防病毒、内容过滤、负载均衡、审计等各种功能,使各种安全威胁在网络边界就得到控制和消除,避免威胁渗透入网络内部的可能性,最大程度地保证系统整体的安全性。
两种联动方式的比较
另一种观点则认为,网络安全的目的是服务于网络应用,虽然安全性和应用性是相互矛盾的,但安全方案应该尽量使安全策略对系统应用的影响降低的最小。正是由于防火墙的位置特殊,我们更应该重点考虑防火墙的部署对于网络应用的影响。防火墙从其最初的设计思想以及其在信息安全方面的主要作用,就是为不同网段之间提供逻辑隔离手段,将不同级别的信任区域有效隔离,将网络的安全策略的制定和信息的流动进行集中管理和控制,为网络提供边界一级保护,是安全体系中的大门,也是网络防御中最主要的力量。从这个初衷出发,我们就应该在保证防火墙在访问控制中的作用的同时,提高它对数据流的处理能力。尤其随着网络技术的发展,百兆网、千兆网、甚至万兆网都开始普及,如果防火墙自身的性能跟不上网络应用的步伐,防火墙就会成为网络系统中的瓶颈,必将被用户所抛弃。
在这样的设计思路下,防火墙应专注于自身性能的提升和运行的稳定性、可靠性的保证,也就是对吞吐量(Throughput)(RFC 2544)、丢包率(Frame Loss Rate)(RFC 2544)、背靠背(Back-to-back)(RFC 2544)、延迟(Latency)(RFC 2544)、最大并发连接数(Concurrent Sessions)(RFC 2647)、最大策略数、最大Session数、DES和3DES下的性能表现加大研究力度,提高这些参数在防火墙系统中的表现能力。而防火墙的功能,应该力求简单可靠,可以确保其访问控制能力正常有效地运转。因此,对于那些对设备资源占用较大的其他功能,比如入侵检测、VPN、防病毒、内容过滤、负载均衡、审计等都应该从防火墙中剥离出去,这些防护手段可以通过与防火墙建立共同接口,以一种联动的方式建立立体的、层次化的防护体系。
不同的防火墙适用者不同
其实两种观点并不矛盾,恰恰相反,其基本出发点都是一致的,而且也反映出信息安全思想和相关知识已经在广大用户中得到了普及和认可,并且,用户的安全意识也在不断深入。我们常说,安全是动态的、立体的、全面的体系,是一个过程,仅仅一个防火墙是不可能解决所有安全问题的,这需要其他的手段相互支持、补充,所以需要IDS,需要VPN,需要防病毒。防火墙发展中所遇到的这些争论也正说明该体系概念的深入人心,只是在具体的表现方式上有所不同。而这种分歧也可以说是一种客户导向所致,客户网络建设的不同,客户应用的不同,客户安全要求的不同,以及客户安全预算的不同就造成了对防火墙的不同发展需求。
针对第一种观点,我们可以认为这是中小型、非以网络为经营盈利方式的企业应用模式,他们对于安全的需求是用最少的投资得到最高的安全保障,甚至可以说,他们希望用最少的投资得到既可以满足网络应用,又可以保障其网络安全的一揽子方案。那么,对于这种类型的需求,最好是在必不可少的防火墙上,同时能拥有各种安全防护手段,可以防病毒、入侵检测、加密传输。如果有可能的话,这个防火墙还可以提供各种网络应用,比如公司的WWW、MAIL等服务。在国外,这种需求的客户很多,相应地,也有许多厂家提供了这类的产品。
对于第二种观点,本人认为,是体现了安全的真正发展方向,也是提高安全性能的最有力的方式。通过一种分布式的、协作的方式,充分利用网络的力量,将每种技术中功能、性能最好的产品通过开放式的协议联系起来,进行互动,每种产品可以专注于自身技术的发展、完善和优化,实现优化组合的巨大力量。这种方式适合于网络应用,在企业运行中地位相当重要、安全需求很高、对于安全的投资力度也比较大的应用环境,比较典型的就是ISP、电信、金融等大型网络。这类产品很多,许多大的安全厂商都致力于这方面的研究,也积极地推出这种方式的标准。
最新评论