目前防火墙在安全性、效率和功能方面的矛盾还是比较突出。防火墙的技术结构,往往是安全性高就会效率低,效率高就会以牺牲安全为代价。未来的防火墙要求是高安全性和高效率。重新设计防火墙的技术架构是未来防火墙的方向之一。这些可能存在的方向包括以下几点:
在包过滤中引入鉴别授权机制
防火墙的安全机理是可控性,主要的实现方式是访问控制。可控性就是能够控制信息的流向和使用者的行为方式。包过滤防火墙对包的流向方面有很好的控制办法,但对使用者的行为方式的控制是间接来完成的。它假设每一个IP地址对应一个假如使用静态IP地址的用户,或一组地址对应一组假如使用动态IP地址的用户。这个假设经常会失效,因为会出现使用别人的IP地址或伪造IP地址,因此会出现很多的安全漏洞和攻击。尽管可以使用IP地址和MAC地址绑定,但这不是从根本上来解决问题。对用户行为方式的控制的最有效的办法就是执行鉴别授权机制。
复变包过滤技术
复变包过滤技术,是指防火墙采用多级并行或串行或串并行混合的复杂结构方式,根据状态和条件确定下一级转发去向,在每一级都有一个子包过滤的复杂结构的防火墙。这种结构方式颇类似于滤波器的结构方式。如果说目前的防火墙是一个被动的规则检查的“傻瓜”防火墙的话,那么复变包过滤防火墙则是智能化的防火墙,因为复变包过滤技术具有根据安全需要确定下一级去向的功能,是一个策略根据条件不断变化的动态的智能防火墙。
已经有一些类似的概念,例如入侵检测(IDS)与防火墙互动,目前已经有很多厂商包括Check Point提出的开放平台的概念等,都是一种简单的复变过滤技术,在不同产品之间简单实现一个或两个这样的特性,是一种努力,但存在很多问题。比如说,IDS和防火墙搭配,如果防火墙在IDS给出反馈之前,没有防住,IDS系统就面临攻击的可能,IDS如果被攻击,这种努力就失败了。在内核一级实现,并且是比较系统地实现,在技术上才是一个大的突破。
虚拟专用防火墙(VPF)
很多人了解虚拟专用网(VPN),VPN的一个特点是对用户来讲,整个网络好像是给个人专用的。防火墙是一个内部网络公用的,那么虚拟专用防火墙就是好像给个人专用的。因为给个人专用,那么很安全。VPF针对具体的用户给出特有的安全规则集。当用户要求使用防火墙时,防火墙首先确认用户身份,对用户进行鉴别,然后动态地创建一个虚拟的接口给用户,调查用户的安全规则集,加载在该虚拟接口上,其他用户看不到该接口,由于采用状态记忆技术,只有该用户才可以使用该接口,用户不使用时,该虚拟接口自动消失。VPF像VPN一样,具有极大的安全性,而且是透明的,基本上接近线速,是高安全性、高性能、应用透明的下一代防火墙。
多级防火墙
这种防火墙对传统防火墙的假设提出了挑战。传统的防火墙假设,两个网络之间有一个唯一的“关口”和有明确的边界。这种粗旷的假设导致细微的安全策略很难实现。现在技术的发展和进步有助于改变这种情况。由于超大规模IC的发展,未来的硬件在同时支持路由、交换和防火墙方面完全可能,而且性能比目前的体系结构要好很多。这种多级防火墙,本身既可以当路由器,也可以当交换机(到底在几层上交换,依赖于用户的设置),当然也是防火墙。由于采用了ASIC技术,性能没有问题。
