您到底需要什么 關注防火墻技術新動向

    防火墻已經是目前最成熟的網絡安全技術，也是市場上最常見的網絡安全產品。在網上Google一下“防火墻”，找到2540000個匹配項;Google一下“firewall”，找到44200000個匹配項?？梢韵胂?，防火墻資料之多如汪洋大海。面對這么多的信息，想對防火墻說三道四，還真不容易。目前，網絡入侵、網絡攻擊、網絡病毒、垃圾郵件、網絡陷阱，網頁被篡改的新聞太多，以致于公眾對“狼來了”已經麻木、沒有反應了。眾多的防火墻廠商，琳瑯滿目的防火墻產品，五花八門的防火墻新技術，充斥著網絡安全界?，F在網絡安全產業，不是用戶有什么問題，而是廠商有問題。防火墻技術已經成熟，為廣大用戶所認可，但是防火墻存在的問題被暴露出來，而且還很嚴重。用戶現在是在看防火墻廠商，看他們怎么辦。一位信息中心的老總在一次安全大會上叫板說，我已經買了不少防火墻，別跟我來虛的，跟我說點有新意的東西?，F在不缺經費，就缺管用的東西。

　　現在的防火墻技術到底有什么問題?用戶到底要什么管用的東西?

　　1、向下看，別老向上看

　　業界流行的觀點是，高性能防火墻是防火墻未來發展的趨勢。高性能防火墻簡直就是防火墻硬件結構不用X86。而對于高端防火墻的技術實現，不外乎基于NP技術或ASIC芯片技術。NP在網絡底層轉發和處理數據，可二次開發，但性能比ASIC差一點。ASIC技術難度大，很難開發，但性能好一點。NP和ASIC還沒有爭論完，有些聰明的廠商已經找到訣竅，推出NP+ASIC的綜合方案，總算找到“最佳”的搭配方案。至于工控機架構，明眼人一眼就看出了，搞NP和ASIC的人聯手，就說它性能不好，說多了就讓它淘汰。

真實的情況到底是什么?用戶到底是要安全還是要速度?安全和速度可是一對矛盾。在發生安全事故的時候，慢比快安全。如發生相撞事件，行人比騎自行車安全，騎自行車比開汽車安全，開汽車比坐飛機要強。不發生安全事故，當然是效率越高越好，能坐火箭當然不坐飛機。從這個意義上，如果是選擇路由器，當然是速度和效率;如果是選擇安全設備，要是你是安全負責人的話，選慢的，別選快的。安全總是需要時間來處理，速度越快，效率越高，安全事故發生的時候就越沒救。哥侖比亞航天飛機下來的時候出了故障，連人影都找不著;飛機失事，人影還有，就是殘缺不全;兩個人走路相撞，生氣歸生氣，但基本不會有事。

　　這個道理用戶懂，可路由器和交換機已經買了千兆的，怎么辦?怎么辦，買千兆防火墻!挑不挑NP或ASIC或X86，是你的事。其實，把安全問題放在千兆出口來解決，本身就不是一種理想的選擇。能在計算機上解決的，不要交給網絡;能在10M口上解決的，不要交給100M;能在100M口上解決的不要交給1000M;如果你還打算把安全問題交給10000M口上去解決，那基本上就是不解決。

　　2、向內看，別老向外看

　　來自網絡外部的安全問題當然存在。黑客也罷，敵對勢力也罷，外部威脅還在。但是現在90%的安全問題在內部，重點在內部，不在外部。病毒發作，往往是內部傳染的。掃描，往往是內部的主機干的。要解決內部的問題，現在的防火墻架構形同虛設。一個只防外不管內的防火墻，怎么管內部的安全問題。再說，防火墻也管不著不經過防火墻的流量。

　　現有的防火墻架構是一種粗顆粒度的訪問控制，把整個內部網絡當作一個邏輯單元來處理。這種粗顆粒度的訪問控制機制不能滿足高安全性的要求，不能解決內網的安全問題，因此我們需要細顆粒度的訪問控制機制。細顆粒度的訪問控制機制未來會很吃香。提高精度，總是好事。

　　要說向內看，思科的網絡訪問控制(NAC)和微軟的網絡訪問保護(NAP)，都在向內看。最近注意到華為也開始向內看。無論是微軟還是思科，盡管有各自的算盤，但在向內看這個問題上，倒是達成一致共識。分布式防火墻，全網安全，網格防火墻(Grid Firewall)，這三樣也是典型的向內看的安全架構。

　　無論是思科還是其它的公司，都從去年的SARS事件中得到啟發。如果網絡的某個主機不安全，在沒有有效辦法去解決的前提下，最好的辦法就是隔離。思科說，我從交換機上將其隔離。分布式防火墻說，我在每一個分布式防火墻上把這個IP和MAC給封了?？傊?，給隔離了。

　　向內看肯定是一個趨勢。細顆粒度的訪問控制到底細到什么程度，目前還沒有明確的說法。如果能對每一個用戶，每一個IP，每一個MAC地址，都進行訪問控制，可以肯定這是目前最細顆粒度的訪問控制。這樣的網絡，是一個強制訪問控制網絡。聽聽，這個名詞，強制訪問控制網絡(MACNET)，一聽就知道是安全的。如果你的網絡，每一個用戶都有防火墻，每一個IP都有防火墻，每一個MAC地址都有防火墻，你的內網一定相當安全。

[1]    

原文轉自：http://www.kjueaiud.com