防火墙产品的发展趋势

防火墙可说是信息安全领域最成熟的产品之一,但是成熟不意味着发展的停滞,恰恰相反,日益提高的安全需求对信息安全产品提出了越来越高的要求,防火墙也不例外,下面我们就防火墙一些基本层面的问题来谈谈防火墙产品的主要发展趋势:

当前主流的防火墙技术基本上是通过预先的规则集配置动态地判断通过防火墙的数据流是合法数据还是非法数据来实现的,然而,攻击手段的不断丰富,使得恶意数据可能隐藏在很多看似合法的数据之中,从而对我们要保护的目标造成危害,举个简单的例子,对于单纯的数据包过滤防火墙来说,通常只针对过往数据包的源/目的地址、数据包类型等一些基本的元素进行检测和判断,而如果一个攻击序列被成功地隐藏在一个可以合法通过这些基本检测的数据流中,就会产生非常严重的伤害,尤其对那些认为自己的规则集非常完美的管理员来讲。也就是说,防火墙虽然是信息安全防护中的最重要力量,但是并不意味着防火墙可以解决一切安全问题,相反的,我们认为防火墙真正的定位应该是安全防御中的“有力武器”,通过防火墙产品的部署,我们可以树立起一道基本屏障,并且较为确实的获知这一防御层次的状态以及还需要哪些部件来进行何种方式的配合,要完全的解决应用环境中的安全问题,需要建立起覆盖性更大、功能型更强、层次性更广的整体防御体系,而当前的防火墙产品,也正积极的加强自身发展,希望可以在这个体系中占有更重要的位置。

模式的变化

传统的防火墙通常都设置在网络的边界位置,不论是内网与外网的边界,还是内网中的不同子网的边界,以数据流进行分隔,形成安全管理区域。但这种设计的最大问题是,恶意攻击的发起不仅仅来自于外网,内网环境同样存在着很多(甚至说更多)安全隐患,而对于这种问题边界式防火墙处理起来是比较困难的,所以现在越来越多的防火墙产品也开始体现出一种分布式结构,以分布式为体系进行设计的防火墙产品以网络节点为保护对象,可以最大限度的覆盖需要保护的对象,大大提升安全防护强度,这不仅仅是单纯的产品形式的变化,而是象征着防火墙产品防御理念的升华,以CheckPoint为代表的软件防火墙产品比较容易实现这种分布式概念,而以硬件部署为实现的情况下,一般可以通过在台式机、服务器、路由器等节点设备上插接专用的接口卡来完成。

目前防火墙的几种基本类型可以说各有优点,所以很多厂商将这些方式结合其来,以弥补单纯一种方式带来的漏洞和不足,例如比较简单的方式就是既针对传输层面的数据包特性进行过滤,同时也针对应用层的规则进行过滤,这种综合性的过滤设计可以充分挖掘防火墙核心功能的能力,可以说是在自身基础之上进行再发展的最有效途径之一,目前较为先进的一种过滤方式是带有状态检测功能的数据包过滤,其实这已经成为现有防火墙产品的一种主流检测模式了,可以预见的,未来的防火墙检测模式将继续整合进更多的范畴,而这些范畴的配合也同时获得大幅的提高。

就目前的现状来看,防火墙的信息记录功能日益完善,但对这些信息的利用却仍处于一个总体上的弱势地位。最初的防火墙系统所具备的日志能力,只是一种处于防火墙主功能之外的辅助功能,而随着安全系统管理要求、信息安全调查员工作要求以及对恶意行为起诉要求的全面提高,对防火墙日志能力的要求已经上升到一个接近与主功能部分相辅相成的高度,通过防火墙的日志系统,我们不但应能方便的够追踪过去网络中发生的事件,有时还要求能够完成与审计系统的联动,并且具备足够的验证能力,以保证在调查取证过程中采集的证据符合法律要求。相信这一方面的功能在未来会有很大幅度的增强,同时这也是众多安全系统中一个需要共同面对的问题。

功能的扩展

现在的防火墙产品已经呈现出一种集成多种功能的设计趋势,包括VPN、AAA、PKI 、IPSec等附加功能,甚至防病毒、入侵检测这样的主流功能,都被集成到防火墙产品中了,很多时候我们已经无法分辨这样的产品到底是以防火墙为主,还是以某个功能为主了,即其已经逐渐向我们普遍称之为IPS(入侵防御系统)的产品转化了。比较著名的一个功能集成方面的例子就是飞塔(Fortinet)防火墙在它的产品中集成了防病毒功能,这样的设计会对管理性带来不少提升,但同时也对防火墙产品的另外两个重要因素产生了影响,即性能和自身的安全问题,所以我们的意见是应该根据具体的应用环境来做综合的权衡,毕竟这个世界暂时还不存在什么完美的解决方案。

除了集成进其他功能之外,防火墙产品也可以通过联动的方式来与实现其他功能的防御设施进行整合,目前全球的大量信息安全产品供应商也一直在马不停蹄的制订各种标准,例如的CheckPoint发起的OPSEC(Open Platform for Security)就是目前最著名同时发展最成熟的安全产品互操作标准之一,这些标准的制订和应用有助于降低消费者的投资额度,为构筑完备的安全体系提供更广泛的支持;但是从现状来看,该类标准的实效性还没有达到设想中的程度,或者说还有很长的路要走,这也是包括防火墙在内的众多安全产品厂商在未来一个阶段需要着重解决的一个问题。

防火墙的管理功能一直在迅猛发展,并且不断的提供一些方便好用的功能给管理员,这种趋势仍将继续,更多新颖实效的管理功能会不断的涌现出来,例如短信功能,至少在大型环境里会成为标准配置,当防火墙的规则被变更或类似的被预先定义的管理事件发生之后,报警行为会以多种途径被发送至管理员处,包括即时的短信或移动电话拨叫功能,以确保安全响应行为在第一时间被启动,而且在将来,通过类似手机、PDA这类移动处理设备也可以方便的对防火墙进行管理,当然,这些管理方式的扩展需要首先面对的问题还是如何保障防火墙系统自身的安全性不被破坏。

性能的提高

未来的防火墙产品由于在功能性上的扩展,以及应用日益丰富、流量日益复杂所提出的更多性能要求,会呈现出更强的处理性能要求,而寄希望于硬件性能的水涨船高肯定会出现瓶颈,所以诸如并行处理技术等经济实用并且经过足够验证的性能提升手段将越来越多的应用在防火墙产品平台上;相对来说,单纯的流量过滤性能是比较容易处理的问题,而与应用层涉及越密,性能提高所需要面对的情况就会越复杂;在大型应用环境中,防火墙的规则库至少有上万条记录,而随着过滤的应用种类的提高,规则数往往会以趋进几何级数的程度上升,这是对防火墙的负荷是很大的考验,使用不同的处理器完成不同的功能可能是解决办法之一,例如利用集成进专有算法的协处理器来专门处理规则判断,在防火墙的某方面性能出现较大瓶颈时,我们可以单纯的升级某个部分的硬件来解决,这种设计有些已经应用到现有的产品中了,也许未来的防火墙产品会呈现出非常复杂的结构,当然,从某种角度来说,我们在祈祷这种状况最好还是不要发生 ^_^ 另外根据经验,除了硬件因素之外,规则处理的方式及算法也会对防火墙性能造成很明显的影响,所以在防火墙的软件部分也应该会融入更多先进的设计技术,并衍生出更多的专用平台技术,以期缓解防火墙的性能要求。

综上所述,不论从功能还是从性能来讲,防火墙产品的演进并不会放慢速度,反而产品的丰富程度和推出速度会不断的加快,这也反映了安全需求不断上升的一种趋势,而相对于产品本身某个方面的演进,更值得我们关注的还是平台体系结构的发展以及安全产品标准的发布,这些变化不仅仅关系到某个环境的某个产品的应用情况,更关系到信息安全领域的未来。

本文转自 离子翼 51CTO博客,原文链接:http://blog.51cto.com/ionwing/57318,如需转载请自行联系原作者

上一篇:网络设备主备配置系列2:netscreen防火墙双机主备
下一篇:防火墙负载均衡解决方案