胖瘦防火墙之争,也导致了厂商的其他看法和主张,这也是我们所希望看到的。世界在发展,不断地创新和不断地进步,新的见解会导致新的技术和产品的出现。对厂商,对用户都是有好处的。
在胖瘦防火墙的这场争论中,三星首席代表申龙哲提出了自己的看法,纯硬件的防火墙不等于瘦,胖也可以做到性能上的瘦。胖瘦不能绝对地去对比,胖防火墙在功能上可以做得很好很完善,同时通过一定的技术在性能上也可以得到保障,也就是说功能上的胖不见得在性能上就瘦了。如果硬件平台选择得好,软件上有独特的算法,也能做到性能上的瘦身。
在关于防火墙胖瘦定义这个问题上,有人会问,什么样的胖才算是胖,胖防火墙应该胖到什么程度?方正数码的李栎和清华紫光比威公司产品行销部产品经理汪辉观点类似,他们认为,从产品角度来说,有的功能可以集成到防火墙中,有的功能不适合做到防火墙中。也就是说,胖防火墙并不适合集成所有的功能,并不是真正意义上的“胖”。所谓的胖防火墙,除了基本的过滤和访问控制外,又集成了如防病毒、入侵检测(IDS)、VPN、内容过滤、身份认证等功能模块。他们认为防病毒功能并不适合做到防火墙里,大部分防火墙都放在网关的位置,当数据包通过防火墙时,要先经过防病毒功能进行查杀毒处理,然后再转发给防火墙处理,这样大大地影响了性能和速度。像内容过滤的功能也不适合做到防火墙里,因为内容过滤主要是基于应用层上的,数据包的处理过程和防病毒是相似的,也会影响性能的。还有其他的一些功能,如身份认证等做到防火墙里的意义并不是很大,现在很多主流的交换机上已经集成了这个功能,就没必要在防火墙上集成了,从而可以降低防火墙的资源消耗。但是,像入侵检测(IDS)功能是可以做到防火墙中,基本上不会影响性能,因为IDS只对数据进行监测,并不转发,而且现在很多的厂商已经把IDS做到防火墙里了。关于联动问题,汪辉认为,专门的IDS产品布置上更灵活,可以检测外部的攻击也能检测到内部的攻击行为,但集成的胖防火墙一般是部署在网关的位置,对外部的攻击可以检测到,对内部的攻击却无能为力,当然对用户来说还是可行的,有一定的价值,但不能完全代替专门的IDS产品。对于VPN功能,他们都认为也是可以集成到防火墙中的,因为即使是独立的VPN也是要部署在防火墙的后面,数据包先经过加密通过VPN网关,然后在通过防火墙。如果把VPN集成到防火墙上,数据包的处理过程还是一样的。所以不管是集成的VPN,还是独立的VPN都会对性能有所影响,但集成后反而会降低成本,管理也简单方便了。
