无论是防火墙厂商还是用户都突然发现,不断成熟的防火墙技术好象已经走到某个制高点。经过胖防火墙与瘦防火墙之争后,大多数防火墙几乎包括了所有的安全功能,如VPN、防病毒、IDS、安全审计等。
在对性能不断追求的同时,防火墙走过最初几年的X86架构,开始向ASIC、NP等网络设备标准架构蜕变,国人也有了自己的千兆线速防火墙……欣喜之余,我们不禁要问:防火墙的发展是否达到了极致?防火墙的发展是否面临拐点?
答案却是否定的!
功能性能不断突破
一方面,防火墙技术和产品已经相对成熟,但还存在一定的技术局限性,防火墙仍不能完全满足用户的需求。网络攻防是一对矛盾,用户需求激发技术创新,网络与应用也在日新月异,因此,防火墙技术将持续快速发展,技术突破将必然带来新的天地。在关键处理技术上实现创新,并对防火墙在各种网络环境中的实际应用、稳定性与易用性,以及整体网络安全解决方案进行研究,一直会是防火墙技术的重要内容。
另一方面,防火墙必须在基于芯片加速的深度内容过滤技术上实现真正的突破,并推出实用化的产品以解决当前的网络安全难题。随着算法和芯片技术的发展,防火墙会更多地参与应用层分析、芯片解决计算加速、软件解决过滤精确,防火墙必将以软硬兼施的方案为用户的应用提供更安全的保障。而VPN、IDS/IPS、防病毒等功能可能以各类加速芯片的形式与防火墙协同工作,形成以芯片技术为主导的全系列硬件型安全网关。各系列的划分将针对用户群的不同需求,并在价格、功能、性能上为各个群体的用户贴身定制。
下一代网络的新需求
此外,防火墙下一步的发展与中国下一代网络的建设紧密相关,如IPv6网络、P2P应用、3G网络等等。这里要特别强调的是防火墙与IPv6。由于IPv6网络的新特性,如端到端的连接、移动IP的处理、内嵌IPSec、路径MTU探测等,给防火墙带来新的安全挑战。防火墙不仅要及时适应IPv6网络的发展,并解决IPv6引入后带来的新问题,同时,由于IPv6与IPv4网络长期共存,网络必然会同时存在IPv4的安全问题与IPv6的安全问题,或由此造成新的安全问题。下一步要考虑的,不仅仅是更适应于网络发展的防火墙模型,可能还会包括网络安全防范与评估方法等等。在Inte.net无所不在的理念下,防火墙等网络安全产品也必将站在可信赖应用与计算环境为基础的角度上设计并解决安全问题。当前基于不同架构设计实现的防火墙都将面临巨大的挑战,为此付出的代价也将是不同的。
高速、安全、可用
总的来说,未来的防火墙的发展趋势仍是向更高速、更安全、更可用方向发展。
更高速:指高性能计算能力,这是深度内容过滤的关键,也是抗DDoS的关键;
更安全:指网络生存抗毁能力,包括网络设备自身的安全性、网络受控对象的安全性,网络可靠性;
更可用:指对用户网络中的应用支撑与业务连续能力,包括网络适用性、应用适应性、冗余、扩展、可管理、QoS等。
随着互联网的发展和用户应用需求的提高,防火墙仍将作为网络安全的首选设备。要让用户买账,既容易又困难:说容易,是因为只要防火墙可以给用户的网络安全带来一定的好处(实用、好用),用户就会满意;说困难,是因为只要防火墙给用户的网络应用带来麻烦(不能用、不易用),用户就难以接受。联想将上述三个方面统称为“可用性”,让用户觉得能用、易用、好用、实用,以可用性的高低来决定防火墙真正的用户价值。