防火墙未来技术前瞻

发表于:2007-05-25来源:作者:点击数: 标签:未来技术前瞻防火墙
现代的防火墙已经不是过去简单的软件问题了。我们从纯软件产品时代、基于PC的产品时代和基于硬件的产品时代,将逐渐走入一个后防火墙时代。由于纯软件的防火墙产品运行速度较慢;而硬件防火墙,虽然速度方面优于纯软件防火墙,但升级比较困难,实用性较低;
现代的防火墙已经不是过去简单的软件问题了。我们从纯软件产品时代、基于PC的产品时代和基于硬件的产品时代,将逐渐走入一个后防火墙时代。由于纯软件的防火墙产品运行速度较慢;而硬件防火墙,虽然速度方面优于纯软件防火墙,但升级比较困难,实用性较低;而新型防火墙其实就是将通常意义上的软件防火墙安装在一个工业标准化的服务器
上,它通过软、硬结合达到一个完整的防火墙解决方案

防火墙提供企业网络安全的第一道防线。然而,许多的入侵行为,却是一只“披着羊皮的狼”,它们欺骗防火墙,进入内部的网络,例如后门程序,附加于各种看似合法的资料上(如网络上各种免费下载软件或电子邮件附件),当内部用户不经意开启时,就在其计算机上装上后门程序。如此一来,即使在网关上装有防火墙保护,但除非禁止用户收电子邮件或下载软件,否则已经暴露在危险之中,而传统的网络安全架构对于这种入侵方式,则完全束手无策。于是各种新型的防火墙技术纷纷揭竿而起,但是它们中到底有谁能笑到最后,实现网络安全的最终幻想,目前就不得而知了。

区域联防

如果说过去传统的单一网络网关型防火墙是“半场盯人”的话,随着黑客技术的不断提升,已渐渐不适于今天的企业架构。新型的防火墙必须结合主机型防火墙与个人计算机型防火墙再配合传统网关型防火墙的功能,让其各司其职、各在其位,来达成全方位及最佳效能比的防卫架构,也就是利用所谓“区域联防”的战术(如图1),其目的是利用各区域的加强防卫动作来化解对手的攻击行为。凡是会连上网络的各端点,不管是网络主机、服务器或个人计算机等,都应该有相当的防护功能,以避免成为骇客入侵的罩门所在,同时,各端点间能彼此能互相防护,避免企业陷入更深的危机。而以后要有效压制对手的攻势,甚至要采取“全场盯人”的战术,让每个上网的网络族都能由自身做起,确实防护自己的计算机。


图1

整合性

防火墙的规模和功能可以适应内部网络的规模和安全策略的变化。选择哪种防火墙,除了应考虑它基本性能外,毫无疑问,还应考虑用户的实际需求与未来网络的升级。未来的防火墙系统应是一个可随意伸缩的模块化解决方案,从最为基本的包过滤器到带加密功能的VPN型包过滤器,直至一个独立的应用网关,使用户有充分的余地构建自己所需要的防火墙体系。同时,防火墙还要尽可能地提供防毒和防黑的功能:在防火墙内具有内置病毒和内容扫描功能或允许用户将病毒与内容扫描程序,并可以与第三方过滤服务连接,获取这些服务所提供的不受欢迎的Internet站点的分类清单,并尽其可能阻止拒绝服务攻击。

未来的防火墙将是企业网络安全的一个基本平台,加入如同前文提到的VPN、内容过滤、加解密、防毒软件、入侵侦测,甚至包括负载平衡、HA(High Availability)、QoS(Quality of Service)等,组成一个整合的中央管理系统来控管整个企业网络的安全(如图2)。


图2

简便性

防火墙产品配置和管理的难易程度是防火墙能否达到目的的主要考虑因素之一。实际上,许多防火墙产品并未起到预期作用的一个不容忽视的原因在于配置和实现上的错误。同时,若防火墙的管理过于困难,则可能会造成设定上的错误,反而不能达到其功能。因此未来的防火墙将具有非常易于进行配置的图形用户界面,Windows NT防火墙市场的发展证明了这种趋势。Windows NT提供了一种易于安装和易于管理的基础。尽管基于Windows NT的防火墙通常落后于基于Unix的防火墙,但其简单性以及方便的可用性大大推动了基于Windows NT的防火墙的销售。 同时,像DNS 这类一直难于与防火墙恰当使用的关键应用程序正引起有意简化操作的厂商越来越多的关注。

结束语:尽管防火墙是在内部网与外部网之间实施安全防范的系统,还存在一定的局限性:

不能防范外部的刻意的人为攻击;

不能防范内部用户攻击;

不能防止内部用户因误操作而造成口令失密受到的攻击;

很难防止病毒或者受病毒感染的文件的传输。

所以绝对完美的防火墙只是后防火墙时代的一个最终幻想,作为网络安全政策和策略中的一个组成部分,它并不能解决网络安全中的所有问题。但了解防火墙技术并学会在实际操作中应用防火墙技术,能在很大程度上保证在你连上Internet的时候不受网络“黑客”的骚扰?从而能保证计算机系统的安全。

原文转自:http://www.ltesting.net