當(dāng)代防火墻技術(shù)到底有什么問題

當(dāng)代防火墻技術(shù)到底有什么問題

　　防火墻已經(jīng)是目前最成熟的網(wǎng)絡(luò)安全技術(shù)，也是市場上最常見的網(wǎng)絡(luò)安全產(chǎn)品。在網(wǎng)上Google一下“防火墻”，找到2540000個匹配項;Google一下“firewall”，找到44200000個匹配項?？梢韵胂?，防火墻資料之多如汪洋大海。面對這么多的信息，想對防火墻說三道四，還真不容易。目前，網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒、垃圾郵件、網(wǎng)絡(luò)陷阱，網(wǎng)頁被篡改的新聞太多，以致于公眾對“狼來了”已經(jīng)麻木、沒有反應(yīng)了。眾多的防火墻廠商，琳瑯滿目的防火墻產(chǎn)品，五花八門的防火墻新技術(shù)，充斥著網(wǎng)絡(luò)安全界。現(xiàn)在網(wǎng)絡(luò)安全產(chǎn)業(yè)，不是用戶有什么問題，而是廠商有問題。防火墻技術(shù)已經(jīng)成熟，為廣大用戶所認(rèn)可，但是防火墻存在的問題被暴露出來，而且還很嚴(yán)重。用戶現(xiàn)在是在看防火墻廠商，看他們怎么辦。一位信息中心的老總在一次安全大會上叫板說，我已經(jīng)買了不少防火墻，別跟我來虛的，跟我說點有新意的東西?，F(xiàn)在不缺經(jīng)費，就缺管用的東西。

　　現(xiàn)在的防火墻技術(shù)到底有什么問題?用戶到底要什么管用的東西?

　　1、向下看，別老向上看

　　業(yè)界流行的觀點是，高性能防火墻是防火墻未來發(fā)展的趨勢。高性能防火墻簡直就是防火墻硬件結(jié)構(gòu)不用X86。而對于高端防火墻的技術(shù)實現(xiàn)，不外乎基于NP技術(shù)或ASIC芯片技術(shù)。NP在網(wǎng)絡(luò)底層轉(zhuǎn)發(fā)和處理數(shù)據(jù)，可二次開發(fā)，但性能比ASIC差一點。ASIC技術(shù)難度大，很難開發(fā)，但性能好一點。NP和ASIC還沒有爭論完，有些聰明的廠商已經(jīng)找到訣竅，推出NP+ASIC的綜合方案，總算找到“最佳”的搭配方案。至于工控機架構(gòu)，明眼人一眼就看出了，搞NP和ASIC的人聯(lián)手，就說它性能不好，說多了就讓它淘汰。

　　真實的情況到底是什么?用戶到底是要安全還是要速度?安全和速度可是一對矛盾。在發(fā)生安全事故的時候，慢比快安全。如發(fā)生相撞事件，行人比騎自行車安全，騎自行車比開汽車安全，開汽車比坐飛機要強。不發(fā)生安全事故，當(dāng)然是效率越高越好，能坐火箭當(dāng)然不坐飛機。從這個意義上，如果是選擇路由器，當(dāng)然是速度和效率;如果是選擇安全設(shè)備，要是你是安全負(fù)責(zé)人的話，選慢的，別選快的。安全總是需要時間來處理，速度越快，效率越高，安全事故發(fā)生的時候就越?jīng)]救。哥侖比亞航天飛機下來的時候出了故障，連人影都找不著;飛機失事，人影還有，就是殘缺不全;兩個人走路相撞，生氣歸生氣，但基本不會有事。

　　這個道理用戶懂，可路由器和交換機已經(jīng)買了千兆的，怎么辦?怎么辦，買千兆防火墻!挑不挑NP或ASIC或X86，是你的事。其實，把安全問題放在千兆出口來解決，本身就不是一種理想的選擇。能在計算機上解決的，不要交給網(wǎng)絡(luò);能在10M口上解決的，不要交給100M;能在100M口上解決的不要交給1000M;如果你還打算把安全問題交給10000M口上去解決，那基本上就是不解決。

　　2、向內(nèi)看，別老向外看

　　來自網(wǎng)絡(luò)外部的安全問題當(dāng)然存在。黑客也罷，敵對勢力也罷，外部威脅還在。但是現(xiàn)在90%的安全問題在內(nèi)部，重點在內(nèi)部，不在外部。病毒發(fā)作，往往是內(nèi)部傳染的。掃描，往往是內(nèi)部的主機干的。要解決內(nèi)部的問題，現(xiàn)在的防火墻架構(gòu)形同虛設(shè)。一個只防外不管內(nèi)的防火墻，怎么管內(nèi)部的安全問題。再說，防火墻也管不著不經(jīng)過防火墻的流量。

　　現(xiàn)有的防火墻架構(gòu)是一種粗顆粒度的訪問控制，把整個內(nèi)部網(wǎng)絡(luò)當(dāng)作一個邏輯單元來處理。這種粗顆粒度的訪問控制機制不能滿足高安全性的要求，不能解決內(nèi)網(wǎng)的安全問題，因此我們需要細(xì)顆粒度的訪問控制機制。細(xì)顆粒度的訪問控制機制未來會很吃香。提高精度，總是好事。

　　要說向內(nèi)看，思科的網(wǎng)絡(luò)訪問控制(NAC)和微軟的網(wǎng)絡(luò)訪問保護(NAP)，都在向內(nèi)看。最近注意到華為也開始向內(nèi)看。無論是微軟還是思科，盡管有各自的算盤，但在向內(nèi)看這個問題上，倒是達(dá)成一致共識。分布式防火墻，全網(wǎng)安全，網(wǎng)格防火墻(Grid Firewall)，這三樣也是典型的向內(nèi)看的安全架構(gòu)。

　　無論是思科還是其它的公司，都從去年的SARS事件中得到啟發(fā)。如果網(wǎng)絡(luò)的某個主機不安全，在沒有有效辦法去解決的前提下，最好的辦法就是隔離。思科說，我從交換機上將其隔離。分布式防火墻說，我在每一個分布式防火墻上把這個IP和MAC給封了。總之，給隔離了。

　　向內(nèi)看肯定是一個趨勢。細(xì)顆粒度的訪問控制到底細(xì)到什么程度，目前還沒有明確的說法。如果能對每一個用戶，每一個IP，每一個MAC地址，都進行訪問控制，可以肯定這是目前最細(xì)顆粒度的訪問控制。這樣的網(wǎng)絡(luò)，是一個強制訪問控制網(wǎng)絡(luò)。聽聽，這個名詞，強制訪問控制網(wǎng)絡(luò)(MACNET)，一聽就知道是安全的。如果你的網(wǎng)絡(luò)，每一個用戶都有防火墻，每一個IP都有防火墻，每一個MAC地址都有防火墻，你的內(nèi)網(wǎng)一定相當(dāng)安全。

　　3、來實的，別老來虛的

　　防火墻給人的感覺就是沒技術(shù)。要不然，怎么一下就好幾百個防火墻廠商，而且每家的功能都差不多。如今非要說防火墻還有什么技術(shù)的話，對其進行DDoS攻擊，看看就知道了。Linux的防火墻家家都會，但Linux上的抗DDoS攻擊軟件的效果不是很好。解決DDoS攻擊是防火墻必須解決的問題。俗話說，養(yǎng)兵千日，用兵一時。敵人要打仗，你有什么辦法，對抗是唯一的辦法。在治理和封堵不能解決問題的情況下，對抗就是最后的辦法。

　　前不久看到一則消息，一家國內(nèi)的廠商的抗DDoS攻擊的防火墻，被國內(nèi)一名技術(shù)人員研制出一種專門針對該廠商的DDoS攻擊軟件。該廠商很生氣，對軟件的作者進行了譴責(zé)。我倒覺得這不是什么壞事，該廠商也很爭氣，馬上給出一個改進版本。這就對了，證明了自己的實力。這才叫打硬仗。那位程序人員也是了得，針對一個公司的產(chǎn)品給出相應(yīng)的攻擊工具，先不管做法對不對，對安全產(chǎn)業(yè)肯定會有幫助。

　　別說抗DDoS該怎么做，先給出抗DDoS的防火墻再說?，F(xiàn)在網(wǎng)上DDoS的攻擊工具多的是，你不用，別人可沒說不用，還是測一測比較放心。聽說一些安全公司現(xiàn)在都有專門自制的DDoS測試工具，不妨向他們要一個，這也反映一個公司的技術(shù)實力。以子之矛攻子之盾，是最好的方法。用別人的矛攻子之盾，也是常見的方法。

　　邊界防火墻的發(fā)展趨勢，現(xiàn)在看來，可能就是一個支持IPS功能和抗DDoS攻擊的包過濾防火墻。就這點功能就夠了，別的事情，邊界防火墻管不好也管不了。

　　4、防火墻也搞“體驗式營銷”

　　3月25日，金山宣布拋出300萬套毒霸的免費下載;3月29日，瑞星發(fā)布了下載的“瑞星殺毒軟件2005網(wǎng)絡(luò)版”;江民科技網(wǎng)上下載業(yè)務(wù)也全面展開，宣布免費殺毒。于是有人詢問，什么時候防火墻也能搞搞“免費試用”。

　　網(wǎng)絡(luò)游戲在中國近兩年得到了巨大的成功。從網(wǎng)絡(luò)游戲中，殺毒廠商悟出了一個全新的軟件發(fā)展商業(yè)模式:那就是利用網(wǎng)絡(luò)讓用戶下載自己的軟件，再通過網(wǎng)絡(luò)游戲運營之道改變軟件的生產(chǎn)、營銷和消費模式。IDC公布的一份研究報告顯然支持了殺毒廠商的意見，由于消費者和投資者需求的變化，歷史悠久的一次性銷售模式被售后不斷提供升級服務(wù)支持所取代。IDC在這份研究報告中得出結(jié)論:至2010年前，大部分軟件供應(yīng)商的主要財務(wù)收入將來源于更新許可證而不是永久性許可證。

　　盡管幾乎所有的國內(nèi)廠商都用的是Linux的免費防火墻，但還真沒有一個向用戶免費提供防火墻的廠商。如果一旦有人免費提供防火墻，還真不知道防火墻市場會變成什么樣子。不過有一點可以肯定，就向IDC的報告所說的那樣，用戶還是需要不斷提供升級和安全服務(wù)，這些服務(wù)還是要收費，可能收的一點也不少。

　　不過，殺毒廠商集體跳向免費服務(wù)市場，還是讓一些防火墻廠商開始動心。已經(jīng)有一些廠商的老總開始向業(yè)界咨詢這類問題。這往往是一個苗頭。如果有一天，防火墻廠商也搞免費試用，提供服務(wù)來收取費用，對目前市場的影響有多大，只有天知道。

　　5、規(guī)則配置向微軟學(xué)習(xí)

　　要問用戶對防火墻最害怕什么?用戶一定說最害怕給防火墻配規(guī)則。為什么?因為規(guī)則配錯了，防火墻的功能就不正確，安全出了問題，一定是用戶負(fù)責(zé)。所以用戶說，什么都愿意干，就是不愿意配規(guī)則。而規(guī)則恰恰是防火墻的靈魂，也是防火墻最大的難點。

　　為什么說配規(guī)則是防火墻的最大難點?因為單獨配一條規(guī)則很容易，配多條規(guī)則要保證其正確性卻很難，因為規(guī)則與順序有關(guān)。ABC，ACB，BCA，BAC，CAB，CBA的結(jié)果，可能相同，也可能不同，在規(guī)則很多的情況下，要檢查和驗證也很難。當(dāng)然，如果你只配一條規(guī)則，這個問題就不存在。

　　記得一位行業(yè)的用戶朋友詢問，有沒有賣安全規(guī)則的?如果有賣安全規(guī)則的，他就愿意去買規(guī)則，這樣他就不再擔(dān)心規(guī)則配置錯誤。到現(xiàn)在為止，確實還沒有賣安全規(guī)則的。即使一些公司提供安全服務(wù)，幫助用戶配置一些規(guī)則，這同賣規(guī)則還是完全不同的兩碼事。

　　如果有一天，防火墻廠商把安全規(guī)則與廠商的防火墻分離，安全規(guī)則可能真的成為一個獨立的市場。也許那個時候，上面的朋友才能買到安全規(guī)則。這一點倒是很像醫(yī)和藥分離的制度，即看病和賣藥是完全分開的。醫(yī)生不準(zhǔn)買藥。藥店不準(zhǔn)開處方。如果是處方藥，必須要得到醫(yī)生的處方，藥店才能賣。

　　買不到規(guī)則，那位朋友還不死心，繼續(xù)詢問有沒有驗證防火墻規(guī)則配置是否正確的驗證工具。朋友很失望，嘮叨說，怎么不做一個這樣的工具?用戶都會花錢買這樣的工具。

　　在防火墻規(guī)則配置的問題上，防火墻廠商應(yīng)該向微軟公司學(xué)習(xí)。微軟公司的一大優(yōu)點，就是配置和使用簡單，而且結(jié)果所見即所得。什么時候防火墻廠商能夠像微軟那樣，讓防火墻配置和使用簡單，那一定是防火墻的發(fā)展趨勢。

　　6、防火墻價格向彩電學(xué)習(xí)

　　防火墻市場的競爭已經(jīng)白熱化，沒有理由不打防火墻的價格戰(zhàn)。原來老以為打價格戰(zhàn)就一定是低端防火墻?，F(xiàn)在看來，高端的防火墻也開始價格戰(zhàn)。其實價格戰(zhàn)沒有什么不好，把水份擠干凈，總是讓用戶受益。說白了，價格戰(zhàn)一開始，就不是成本定價，而是市場定價。Cisco推出1萬元以下的防火墻。國產(chǎn)廠商要打贏思科，一定得推出低價的高端防火墻，才能站穩(wěn)腳。只有當(dāng)?shù)蛢r防火墻市場流行以后，安全市場才能高度國產(chǎn)化。

　　從目前國外的市場來看，有PC上的免費個人防火墻，有收費的個人防火墻，有開放源碼的免費防火墻(Linux)，也有收服務(wù)費的開源防火墻。我們注意到一些國外的防火墻廠商，在美國的價格要比其在國內(nèi)的價格低的多得多。這種現(xiàn)象顯然不正常。

　　最近的一些行業(yè)投標(biāo)中，筆者驚喜地發(fā)現(xiàn)防火墻價格正在向彩電學(xué)習(xí)，這是一個好兆頭。說明防火墻市場成熟了。總有人擔(dān)心，價格低了沒有好東西，現(xiàn)在的彩電價格低，東西難道沒有原來好?市場這只看不見的手，管用的很。價廉物美，市場才成熟。