当代防火墙技术到底有什么问题
当代防火墙技术到底有什么问题
防火墙已经是目前最成熟的网络安全技术,也是市场上最常见的网络安全产品。在网上Google一下“防火墙”,找到2540000个匹配项;Google一下“firewall”,找到44200000个匹配项。可以想象,防火墙资料之多如汪洋大海。面对这么多的信息,想对防火墙说三道四,还真不容易。目前,网络入侵、网络攻击、网络病毒、垃圾邮件、网络陷阱,网页被篡改的新闻太多,以致于公众对“狼来了”已经麻木、没有反应了。众多的防火墙厂商,琳琅满目的防火墙产品,五花八门的防火墙新技术,充斥着网络安全界。现在网络安全产业,不是用户有什么问题,而是厂商有问题。防火墙技术已经成熟,为广大用户所认可,但是防火墙存在的问题被暴露出来,而且还很严重。用户现在是在看防火墙厂商,看他们怎么办。一位信息中心的老总在一次安全大会上叫板说,我已经买了不少防火墙,别跟我来虚的,跟我说点有新意的东西。现在不缺经费,就缺管用的东西。
现在的防火墙技术到底有什么问题?用户到底要什么管用的东西?
1、向下看,别老向上看
业界流行的观点是,高性能防火墙是防火墙未来发展的趋势。高性能防火墙简直就是防火墙硬件结构不用X86。而对于高端防火墙的技术实现,不外乎基于NP技术或ASIC芯片技术。NP在网络底层转发和处理数据,可二次开发,但性能比ASIC差一点。ASIC技术难度大,很难开发,但性能好一点。NP和ASIC还没有争论完,有些聪明的厂商已经找到诀窍,推出NP+ASIC的综合方案,总算找到“最佳”的搭配方案。至于工控机架构,明眼人一眼就看出了,搞NP和ASIC的人联手,就说它性能不好,说多了就让它淘汰。
真实的情况到底是什么?用户到底是要安全还是要速度?安全和速度可是一对矛盾。在发生安全事故的时候,慢比快安全。如发生相撞事件,行人比骑自行车安全,骑自行车比开汽车安全,开汽车比坐飞机要强。不发生安全事故,当然是效率越高越好,能坐火箭当然不坐飞机。从这个意义上,如果是选择路由器,当然是速度和效率;如果是选择安全设备,要是你是安全负责人的话,选慢的,别选快的。安全总是需要时间来处理,速度越快,效率越高,安全事故发生的时候就越没救。哥仑比亚航天飞机下来的时候出了故障,连人影都找不着;飞机失事,人影还有,就是残缺不全;两个人走路相撞,生气归生气,但基本不会有事。
这个道理用户懂,可路由器和交换机已经买了千兆的,怎么办?怎么办,买千兆防火墙!挑不挑NP或ASIC或X86,是你的事。其实,把安全问题放在千兆出口来解决,本身就不是一种理想的选择。能在计算机上解决的,不要交给网络;能在10M口上解决的,不要交给100M;能在100M口上解决的不要交给1000M;如果你还打算把安全问题交给10000M口上去解决,那基本上就是不解决。
2、向内看,别老向外看
来自网络外部的安全问题当然存在。黑客也罢,敌对势力也罢,外部威胁还在。但是现在90%的安全问题在内部,重点在内部,不在外部。病毒发作,往往是内部传染的。扫描,往往是内部的主机干的。要解决内部的问题,现在的防火墙架构形同虚设。一个只防外不管内的防火墙,怎么管内部的安全问题。再说,防火墙也管不着不经过防火墙的流量。
现有的防火墙架构是一种粗颗粒度的访问控制,把整个内部网络当作一个逻辑单元来处理。这种粗颗粒度的访问控制机制不能满足高安全性的要求,不能解决内网的安全问题,因此我们需要细颗粒度的访问控制机制。细颗粒度的访问控制机制未来会很吃香。提高精度,总是好事。
要说向内看,思科的网络访问控制(NAC)和微软的网络访问保护(NAP),都在向内看。最近注意到华为也开始向内看。无论是微软还是思科,尽管有各自的算盘,但在向内看这个问题上,倒是达成一致共识。分布式防火墙,全网安全,网格防火墙(Grid Firewall),这三样也是典型的向内看的安全架构。
无论是思科还是其它的公司,都从去年的SARS事件中得到启发。如果网络的某个主机不安全,在没有有效办法去解决的前提下,最好的办法就是隔离。思科说,我从交换机上将其隔离。分布式防火墙说,我在每一个分布式防火墙上把这个IP和MAC给封了。总之,给隔离了。
向内看肯定是一个趋势。细颗粒度的访问控制到底细到什么程度,目前还没有明确的说法。如果能对每一个用户,每一个IP,每一个MAC地址,都进行访问控制,可以肯定这是目前最细颗粒度的访问控制。这样的网络,是一个强制访问控制网络。听听,这个名词,强制访问控制网络(MACNET),一听就知道是安全的。如果你的网络,每一个用户都有防火墙,每一个IP都有防火墙,每一个MAC地址都有防火墙,你的内网一定相当安全。
3、来实的,别老来虚的
防火墙给人的感觉就是没技术。要不然,怎么一下就好几百个防火墙厂商,而且每家的功能都差不多。如今非要说防火墙还有什么技术的话,对其进行DDoS攻击,看看就知道了。Linux的防火墙家家都会,但Linux上的抗DDoS攻击软件的效果不是很好。解决DDoS攻击是防火墙必须解决的问题。俗话说,养兵千日,用兵一时。敌人要打仗,你有什么办法,对抗是唯一的办法。在治理和封堵不能解决问题的情况下,对抗就是最后的办法。
前不久看到一则消息,一家国内的厂商的抗DDoS攻击的防火墙,被国内一名技术人员研制出一种专门针对该厂商的DDoS攻击软件。该厂商很生气,对软件的作者进行了谴责。我倒觉得这不是什么坏事,该厂商也很争气,马上给出一个改进版本。这就对了,证明了自己的实力。这才叫打硬仗。那位程序人员也是了得,针对一个公司的产品给出相应的攻击工具,先不管做法对不对,对安全产业肯定会有帮助。
别说抗DDoS该怎么做,先给出抗DDoS的防火墙再说。现在网上DDoS的攻击工具多的是,你不用,别人可没说不用,还是测一测比较放心。听说一些安全公司现在都有专门自制的DDoS测试工具,不妨向他们要一个,这也反映一个公司的技术实力。以子之矛攻子之盾,是最好的方法。用别人的矛攻子之盾,也是常见的方法。
边界防火墙的发展趋势,现在看来,可能就是一个支持IPS功能和抗DDoS攻击的包过滤防火墙。就这点功能就够了,别的事情,边界防火墙管不好也管不了。
4、防火墙也搞“体验式营销”
3月25日,金山宣布抛出300万套毒霸的免费下载;3月29日,瑞星发布了下载的“瑞星杀毒软件2005网络版”;江民科技网上下载业务也全面展开,宣布免费杀毒。于是有人询问,什么时候防火墙也能搞搞“免费试用”。
网络游戏在中国近两年得到了巨大的成功。从网络游戏中,杀毒厂商悟出了一个全新的软件发展商业模式:那就是利用网络让用户下载自己的软件,再通过网络游戏运营之道改变软件的生产、营销和消费模式。IDC公布的一份研究报告显然支持了杀毒厂商的意见,由于消费者和投资者需求的变化,历史悠久的一次性销售模式被售后不断提供升级服务支持所取代。IDC在这份研究报告中得出结论:至2010年前,大部分软件供应商的主要财务收入将来源于更新许可证而不是永久性许可证。
尽管几乎所有的国内厂商都用的是Linux的免费防火墙,但还真没有一个向用户免费提供防火墙的厂商。如果一旦有人免费提供防火墙,还真不知道防火墙市场会变成什么样子。不过有一点可以肯定,就向IDC的报告所说的那样,用户还是需要不断提供升级和安全服务,这些服务还是要收费,可能收的一点也不少。
不过,杀毒厂商集体跳向免费服务市场,还是让一些防火墙厂商开始动心。已经有一些厂商的老总开始向业界咨询这类问题。这往往是一个苗头。如果有一天,防火墙厂商也搞免费试用,提供服务来收取费用,对目前市场的影响有多大,只有天知道。
5、规则配置向微软学习
要问用户对防火墙最害怕什么?用户一定说最害怕给防火墙配规则。为什么?因为规则配错了,防火墙的功能就不正确,安全出了问题,一定是用户负责。所以用户说,什么都愿意干,就是不愿意配规则。而规则恰恰是防火墙的灵魂,也是防火墙最大的难点。
为什么说配规则是防火墙的最大难点?因为单独配一条规则很容易,配多条规则要保证其正确性却很难,因为规则与顺序有关。ABC,ACB,BCA,BAC,CAB,CBA的结果,可能相同,也可能不同,在规则很多的情况下,要检查和验证也很难。当然,如果你只配一条规则,这个问题就不存在。
记得一位行业的用户朋友询问,有没有卖安全规则的?如果有卖安全规则的,他就愿意去买规则,这样他就不再担心规则配置错误。到现在为止,确实还没有卖安全规则的。即使一些公司提供安全服务,帮助用户配置一些规则,这同卖规则还是完全不同的两码事。
如果有一天,防火墙厂商把安全规则与厂商的防火墙分离,安全规则可能真的成为一个独立的市场。也许那个时候,上面的朋友才能买到安全规则。这一点倒是很像医和药分离的制度,即看病和卖药是完全分开的。医生不准买药。药店不准开处方。如果是处方药,必须要得到医生的处方,药店才能卖。
买不到规则,那位朋友还不死心,继续询问有没有验证防火墙规则配置是否正确的验证工具。朋友很失望,唠叨说,怎么不做一个这样的工具?用户都会花钱买这样的工具。
在防火墙规则配置的问题上,防火墙厂商应该向微软公司学习。微软公司的一大优点,就是配置和使用简单,而且结果所见即所得。什么时候防火墙厂商能够像微软那样,让防火墙配置和使用简单,那一定是防火墙的发展趋势。
6、防火墙价格向彩电学习
防火墙市场的竞争已经白热化,没有理由不打防火墙的价格战。原来老以为打价格战就一定是低端防火墙。现在看来,高端的防火墙也开始价格战。其实价格战没有什么不好,把水份挤干净,总是让用户受益。说白了,价格战一开始,就不是成本定价,而是市场定价。Cisco推出1万元以下的防火墙。国产厂商要打赢思科,一定得推出低价的高端防火墙,才能站稳脚。只有当低价防火墙市场流行以后,安全市场才能高度国产化。
从目前国外的市场来看,有PC上的免费个人防火墙,有收费的个人防火墙,有开放源码的免费防火墙(Linux),也有收服务费的开源防火墙。我们注意到一些国外的防火墙厂商,在美国的价格要比其在国内的价格低的多得多。这种现象显然不正常。
最近的一些行业投标中,笔者惊喜地发现防火墙价格正在向彩电学习,这是一个好兆头。说明防火墙市场成熟了。总有人担心,价格低了没有好东西,现在的彩电价格低,东西难道没有原来好?市场这只看不见的手,管用的很。价廉物美,市场才成熟。