做为用户到底该如何去看待“胖瘦防火墙之争”的问题,是胖防火墙好还是瘦防火墙好呢?谁更适合用胖防火墙,瘦防火墙更适合什么样的用户?用户该如何去选择呢?
本无“胖”与“瘦”
网络安全并不是绝对的,再好的解决方案也会存在安全漏洞,然而用户对安全的要求却是绝对的。在采访中,所有的厂商普遍都认为,无论是胖防火墙还是瘦防火墙都有它生存的道理,那就是市场,就是用户,只要能满足用户的需求,适应网络的应用,产品就会有市场。
CheckPoint公司中国办事处系统工程师沈江认为,考虑用户的需求是防火墙技术发展的最终目的和原动力。防火墙无所谓胖瘦,只要能满足用户的需求和应用,就会被用户所接受。方正数码信息安全事业部的产品服务总监李栎特别强调,在防火墙里可以加其他的安全功能,但加什么样的功能、怎么加、加多少,主要关键还是要考虑用户的需求,也就是说,不管是做胖防火墙还是瘦防火墙,都要从用户需求出发,要看是否能给用户带来实用的价值。现在有的防火墙什么功能都加,从表面上看,防火墙功能挺多,但让用户却没法用,根本达不到用户的期望和要求。中科网威的副总裁刘兵认为,防火墙不必去谈胖瘦,从技术角度上讲,讨论防火墙的胖瘦是没有意义的,防火墙的主要功能是用来保护网络应用的,用户的需求第一,有的用户需要胖防火墙,有的用户需要瘦防火墙,有的用户可能两者都需要。网新易尚产品总监骆延宾认为,安全产品最重要的是能帮助用户切实解决安全问题,为用户带来价值,使得投入和产出成正比。
追求功能与性能统一
既然目前市场上胖防火墙和瘦防火墙并存,那么就会有它们存在的道理,有它们各自的优势;同时,在防火墙界有胖瘦之争,也说明它们还并不都是完美的,也有他们各自的不足之处。从技术、性能、功能、应用性、稳定性、可靠性等角度上看,各厂商也是说法不一。
通常,一人做一件事要比一人做十件事的效率高。防火墙也是一样,瘦防火墙只做它自己的一项功能,而胖防火墙要做很多的功能,单就性能来说,胖防火墙自然比不上瘦防火墙,但是,评价一款产品,不能单就某一方面来判断它的好坏,应该辨证地去看。正像中科网威刘兵所说的,对于选择防火墙,要考虑它的性能和功能,瘦防火墙把功能裁减的越多,那么它的性能相应也就会越高。而胖防火墙的功能增多了,那么它的性能就会相应地降低了。所以,无论胖防火墙还是瘦防火墙,要把握一个平衡,那就是,功能、性能、应用性、稳定性的平衡。胖防火墙功能越多,其稳定性、性能就会相对降低,所以还要考虑应用性。持有相同观点的东软曹斌博士也认为,胖防火墙功能越多,性能、稳定性、可靠性就会降低。从技术的角度上看,如果能做到既增加了功能,有不降低性能、可靠性的要求,那防火墙就会胖起来。相应的在技术上就会不断地改进以保持性能上的不落后。就像操作系统从DOS到Windows的转变一样,为了保障Windows的性能、稳定性、可靠性,相应的硬件体系也在不断地改进,CPU、内存等都在提高。当然,现有的技术能力还不能把所有的安全功能都集成在一个防火墙平台上,对用户来说,胖防火墙管理使用起来很方便,不需要改变网络结构,不需要调整服务器等,这样少加了其他设备,故障点就少了。瘦防火墙固然让用户选择的机会多了,用户可以各自选择最好的安全产品,安全性、可靠性更高,但成本也提高了。CheckPoint公司的沈江更趋向于瘦防火墙,他认为胖防火墙最重要的优势就是方便,最大限度地简化了用户的操作,如安装、配置、管理等相对简单了很多,这是选择胖防火墙的主要理由。同时,由于胖防火墙集成了其他的安全模块后,当数据包经过防火墙时被其他的模块处理后再经过防火墙,对其性能会有很大的影响,这样会成为带宽的瓶颈。而且,一个好的解决方案总是以其中最薄弱的环节来衡量的,胖防火墙上集成的其他安全模块和专业的产品在性能等方面会有很大的差别,这样在安全性方面会大打折扣,即使防火墙功能再强大,薄弱的环节也会造成整体安全性的降低。对用户来说,不但投资得不到保障,选择的机会也少了。而瘦防火墙的灵活性更好,用户选择机会也多,可以根据自己的需求最大限度的分别选择最好的其他产品,通过联合完成提供一个最优的解决方案。即使其中一个环节出现问题,用户也可以更换,但胖防火墙如果其中一个模块坏了,就要更换整个平台,给用户造成很大的不便。
在安全领域,并不是某一个产品的天下,随着各种技术的不断完善和新技术的出现,从硬件体系结构到软件算法,相信会做到功能与性能的平衡。三星计算机安全公司首席代表申龙哲对此很有信心,他认为在用户的网络结构很复杂的环境下,瘦防火墙要加很多的策略,如果策略多的话,瘦防火墙在性能上就要受到影响,这是瘦防火墙的一个缺陷。而胖防火墙是未来一种产品形态,也是一个研发的方向。防火墙在单一的处理性能上应该可以做得很好,像现在防火墙的处理器已经发展到了NP(网络处理器),在这个基础之上,可以适当地增加一些其他的安全功能,如IDS、VPN、防病毒、IPS、内容过滤等,通过一些独特的算法,采用多个应用处理器并发处理,不同的处理器分别处理不同的功能模块,这样在性能上是不会有太大的影响的,用户也感觉不到性能的影响。既要做到好的性能,又要有完善的功能。
从各个厂商的观点我们可以看出,胖防火墙与瘦防火墙各有千秋,婆说婆有理,公说公有理,胖有胖的好处,瘦有瘦的道理。天融信技术服务部技术总监陈爱锋对此做了一个全面的总结,胖防火墙的优势首先是功能全,集成包括防火墙、VPN、IDS、防病毒、URL过滤等多种功能;其次是控制力度细,胖防火墙在访问控制的力度上做得更细,不仅支持普通的TCP/IP协议报头信息进行过滤,还支持基于时间、用户、流量等方式的访问控制;第三是协作能力强,由于多项功能集中在一个产品上实现,不同功能之间的协作容易实现;还有就是价格更便宜,同样的价钱买到更多的功能自然会更加实惠。它的不足之处主要表现在性能低,同样的计算平台完成更多的功能自然会极大影响防火墙的性能;其次是自身安全性差,集成了IDS、防病毒等功能的防火墙在病毒库、攻击库自动升级方面自然要留出一些接口,这些都会对防火墙的安全性造成影响;还有专业性不强,目前的胖防火墙集成一些第三方专用产品完成的功能,往往不够专业。由于其他厂商在那些产品的开发上有着丰富的经验,而且是基于自己的平台和模式,把其他硬性拼凑到一个平台,其效果和性能肯定不够理想;第四是稳定性差,程序开发商往往越是大的系统,其BUG就会越多,这个系统的稳定性就会越差;最后是配置复杂,功能多,其配置过程和手段都会更加复杂,这样使得管理员难以充分发挥防火墙的效能,而且容易因为不合理的配置带来更大的安全隐患。而相反瘦防火墙却避免了胖防火墙的不足,主要表现在首先是性能高,瘦防火墙功能专业、代码精简、程序实现更加优化,因此同样硬件平台的瘦防火墙性能会更好;其次是专业性强,由于瘦防火墙更加注重于自己的核心功能,因此代码实现的效率会更高。产品的专业性也会越强;第三是自身安全性更高,瘦防火墙功能精简、代码少、功能相对比较专业,因此整体的安全性会更高。当然瘦防火墙也有它的缺点,首先是功能单一,瘦防火墙专注防火墙的核心功能,相对胖防火墙而言感觉功能比较单调;其次是整体防护能力较弱,单一功能使得瘦防火墙很难发挥更大的作用,如果不能与其他安全产品联动,难以构成整体的安全防护体系;最后一点是配置简单,功能专业,安全策略更加容易制定和实施,因此很容易部署。而且会极大简化对管理员的专业要求。同时陈爱锋也强调说,采用新的硬件处理平台,提高硬件处理能力,可以改进胖防火墙的性能、增加稳定性。比如采用NP或者ASIC芯片。同时,把瘦防火墙功能细化,提高设计性能和稳定性,通过标准的联动协议将不同功能的产品联系起来,这样既满足了功能需要,又可确保每类产品的功能和性能。
需求决定产品形态
用户的需求导致了胖瘦防火墙之争,那么在现阶段,胖瘦防火墙到底适合什么样的用户呢?用户该如何去选择呢?各厂商都从不同的角度诠释了自己的观点,CheckPoint公司的沈江认为,从用户角度来看,胖防火墙的最重要的优势就是方便,主要适合对安全性要求不高的用户,由于胖防火墙集成了很多的安全产品,而瘦防火墙更专业化,主动性更高,更适合对安全性要求高的用户,如IDC、ISP等。用户希望有更多的选择机会,灵活性也高。东软曹斌博士也从另一个角度阐述了自己的看法,在安全领域,安全产品在安全程度上,对用户需求的划分要比对性能的划分高一些。由于用户习惯性思维,是希望把所有功能都放到一个防火墙里,通过一个防火墙可以解决很多的问题,当然,即使是胖防火墙仍然需要其他产品的协同。对于投资敏感的用户,希望防火墙越胖越好。对于稍大的中档用户,对性能、安全性、可靠性要求很高,就希望选择瘦防火墙。
总而言之,大部分厂商都认为,胖防火墙与瘦防火墙凭借自己的优势在防火墙市场会各自为营,争取和选择各自的用户群。做为用户,一定要根据自己的网络应用和需求,量体裁衣,在选择防火墙的时候,多家对比,多听专家的建议,选择性价比高的产品。
明日之路
用户也许会问,胖瘦防火墙的发展趋势会是什么样的呢?很多厂商对此也发表了自己的观点,大体上有三种趋向,一是胖瘦竞争,导致其中之一被淘汰;一是胖瘦并存,同步发展;还有一种就是出现一种新的产品来替代防火墙,也许还叫防火墙,也许叫另一个名字,实质还是一样的。
天融信的陈爱锋认为,就像在汽车工业高度发达的今天城市里面还