|
網(wǎng)絡技術是從1990年代中期發(fā)展起來的新技術�����,它把互聯(lián)網(wǎng)上分散的資源融為有機整體�,實現(xiàn)資源的全面共享和有機協(xié)作���,使人們能夠透明地使用資源的整體能力并按需獲取信息�����。資源包括高性能計算機����、存儲資源�、數(shù)據(jù)資源、信息資源、知識資源、專家資源、大型數(shù)據(jù)庫��、網(wǎng)絡�����、傳感器等���。 當前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡則被認為是互聯(lián)網(wǎng)發(fā)展的第三階段��。 防火墻可說是信息安全領域最成熟的產(chǎn)品之一����,但是成熟并不意味著發(fā)展的停滯,恰恰相反����,日益提高的安全需求對信息安全產(chǎn)品提出了越來越高的要求�,防火墻也不例外�,下面我們就防火墻一些基本層面的問題來談談防火墻產(chǎn)品的主要發(fā)展趨勢。
模式轉(zhuǎn)變
傳統(tǒng)的防火墻通常都設置在網(wǎng)絡的邊界位置�����,不論是內(nèi)網(wǎng)與外網(wǎng)的邊界���,還是內(nèi)網(wǎng)中的不同子網(wǎng)的邊界�����,以數(shù)據(jù)流進行分隔���,形成安全管理區(qū)域���。但這種設計的最大問題是�,惡意攻擊的發(fā)起不僅僅來自于外網(wǎng),內(nèi)網(wǎng)環(huán)境同樣存在著很多安全隱患��,而對于這種問題�,邊界式防火墻處理起來是比較困難的,所以現(xiàn)在越來越多的防火墻產(chǎn)品也開始體現(xiàn)出一種分布式結(jié)構(gòu)�����,以分布式為體系進行設計的防火墻產(chǎn)品以網(wǎng)絡節(jié)點為保護對象����,可以最大限度地覆蓋需要保護的對象���,大大提升安全防護強度�����,這不僅僅是單純的產(chǎn)品形式的變化��,而是象征著防火墻產(chǎn)品防御理念的升華。
防火墻的幾種基本類型可以說各有優(yōu)點�,所以很多廠商將這些方式結(jié)合起來�����,以彌補單純一種方式帶來的漏洞和不足,例如比較簡單的方式就是既針對傳輸層面的數(shù)據(jù)包特性進行過濾��,同時也針對應用層的規(guī)則進行過濾��,這種綜合性的過濾設計可以充分挖掘防火墻核心功能的能力��,可以說是在自身基礎之上進行再發(fā)展的最有效途徑之一,目前較為先進的一種過濾方式是帶有狀態(tài)檢測功能的數(shù)據(jù)包過濾����,其實這已經(jīng)成為現(xiàn)有防火墻產(chǎn)品的一種主流檢測模式了�����,可以預見,未來的防火墻檢測模式將繼續(xù)整合進更多的范疇�����,而這些范疇的配合也同時獲得大幅的提高��。
就目前的現(xiàn)狀來看,防火墻的信息記錄功能日益完善�,通過防火墻的日志系統(tǒng)��,可以方便地追蹤過去網(wǎng)絡中發(fā)生的事件,還可以完成與審計系統(tǒng)的聯(lián)動,具備足夠的驗證能力�,以保證在調(diào)查取證過程中采集的證據(jù)符合法律要求�����。相信這一方面的功能在未來會有很大幅度的增強,同時這也是眾多安全系統(tǒng)中一個需要共同面對的問題。
功能擴展
現(xiàn)在的防火墻產(chǎn)品已經(jīng)呈現(xiàn)出一種集成多種功能的設計趨勢����,包括VPN�����、AAA、PKI 、IPSec等附加功能,甚至防病毒�、入侵檢測這樣的主流功能�,都被集成到防火墻產(chǎn)品中了����,很多時候我們已經(jīng)無法分辨這樣的產(chǎn)品到底是以防火墻為主,還是以某個功能為主了,即其已經(jīng)逐漸向我們普遍稱之為IPS(入侵防御系統(tǒng))的產(chǎn)品轉(zhuǎn)化了。有些防火墻集成了防病毒功能��,這樣的設計會對管理性能帶來不少提升�,但同時也對防火墻產(chǎn)品的另外兩個重要因素產(chǎn)生了影響,即性能和自身的安全問題���,所以我們的意見是應該根據(jù)具體的應用環(huán)境來做綜合的權(quán)衡�,畢竟這個世界暫時還不存在什么完美的解決方案��。
防火墻的管理功能一直在迅猛發(fā)展�,并且不斷地提供一些方便好用的功能給管理員�,這種趨勢仍將繼續(xù)�,更多新穎實效的管理功能會不斷地涌現(xiàn)出來,例如短信功能����,至少在大型環(huán)境里會成為標準配置�����,當防火墻的規(guī)則被變更或類似的被預先定義的管理事件發(fā)生之后,報警行為會以多種途徑被發(fā)送至管理員處,包括即時的短信或移動電話撥叫功能,以確保安全響應行為在第一時間被啟動��,而且在將來���,通過類似手機���、PDA這類移動處理設備也可以方便地對防火墻進行管理�,當然,這些管理方式的擴展需要首先面對的問題還是如何保障防火墻系統(tǒng)自身的安全性不被破壞。
性能提高
未來的防火墻產(chǎn)品由于在功能性上的擴展�����,以及應用日益豐富�、流量日益復雜所提出的更多性能要求,會呈現(xiàn)出更強的處理性能要求����,而寄希望于硬件性能的水漲船高肯定會出現(xiàn)瓶頸�,所以諸如并行處理技術等經(jīng)濟實用并且經(jīng)過足夠驗證的性能提升手段將越來越多的應用在防火墻產(chǎn)品平臺上���;相對來說���,單純的流量過濾性能是比較容易處理的問題��,而與應用層涉及越密���,性能提高所需要面對的情況就會越復雜;在大型應用環(huán)境中�����,防火墻的規(guī)則庫至少有上萬條記錄�����,而隨著過濾的應用種類的提高�,規(guī)則數(shù)往往會以趨進幾何級數(shù)的程度上升�����,這是對防火墻的負荷是很大的考驗�����,使用不同的處理器完成不同的功能可能是解決辦法之一,例如利用集成專有算法的協(xié)處理器來專門處理規(guī)則判斷�����,在防火墻的某方面性能出現(xiàn)較大瓶頸時�,我們可以單純地升級某個部分的硬件來解決,這種設計有些已經(jīng)應用到現(xiàn)有的產(chǎn)品中了���,也許未來的防火墻產(chǎn)品會呈現(xiàn)出非常復雜的結(jié)構(gòu),當然���,從某種角度來說,我們祈禱這種狀況最好還是不要發(fā)生���。
另外根據(jù)經(jīng)驗,除了硬件因素之外�,規(guī)則處理的方式及算法也會對防火墻性能造成很明顯的影響,所以在防火墻的軟件部分也應該會融入更多先進的設計技術,并衍生出更多的專用平臺技術�,以期緩解防火墻的性能要求���。
綜上所述����,不論從功能還是從性能來講,防火墻產(chǎn)品的演進并不會放慢速度�,反而產(chǎn)品的豐富程度和推出速度會不斷的加快��,這也反映了安全需求不斷上升的一種趨勢,而相對于產(chǎn)品本身某個方面的演進�,更值得我們關注的還是平臺體系結(jié)構(gòu)的發(fā)展以及安全產(chǎn)品標準的發(fā)布���,這些變化不僅僅關系到某個環(huán)境的某個產(chǎn)品的應用情況��,更關系到信息安全領域的未來。
網(wǎng)絡的神奇作用吸引著越來越多的用戶加入其中����,正因如此����,網(wǎng)絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上��、軟件上�����、所用標準上......,各項技術都需要適時應勢�����,對應發(fā)展�����,這正是網(wǎng)絡迅速走向進步的催化劑。
| 
