伴随计算机技术的发展和网络应用的普及,越来越多的行业、企业与个体都遭遇到不同程度的安全难题,并在积极寻求更为可靠的安全解决方案。在目前采用的网络安全的防范体系中,防火墙占据着举足轻重的位置,因此市场对防火墙的设备需求和技术要求都在不断提升。
业内人士普遍认为,纵观近两年的信息安全市场,防火墙设备市场已经进入高速发展期。来自赛迪的数据显示,2003年第一季度,国内的防火墙市场需求就比2002年同期增长了66.8%,而据初步估计,2003年的防火墙设备市场总额也达到了8亿。与此同时,Yankee Group日前发表的调查报告称,全球54%的公司表示计划在未来三年内增加安全预算,而乎40%的公司表示仍会保持目前的开支水平。显然,防火墙市场将大有可为。
与此同时,越来越严峻的网络安全问题也要求防火墙技术有更快的提高。2003年爆发的"冲击波"病毒已经让全球深切感受到维护网络安全的紧迫和严峻性。而日前由网络安全公司TruSecure发布的安全研究报告更指出,来自点对点的文件共享软件和间谍软件的额外威胁有可能使得2004年的网络安全环境比2003年更为糟糕。本文将结合三一通讯安全研发部门目前在防火墙领域积累的经验,对防火墙未来的发展趋势进行探讨。
防火墙发展现状
防火墙作为维护网络安全的关键设备,其目的是在信任网络和非信任网络之间建立一道屏障,并实施相应的安全策略。应该说,在Internet上应用防火墙是一种非常有效的网络安全拓扑,它安装在信任网络和非信任网络之间,通过它可以隔离非信任网络(即Internet或局域网的一部分)与信任网络(局域网)的连接,同时不会妨碍人们对非信任网络的访问。
在实际网络应用中,防火墙接入模式主要分为路由模式、桥模式、NAT模式和混合模式。典型防火墙(以NAT模式为例)接入网络拓扑图如下:
防火墙诞生以来,技术发展总共经历了三个主要的发展阶段。其中包括早期的简单包过滤技术,到应用代理技术,以及状态包过滤技术。目前,获得普遍认同的时状态包过滤技术,因为该技术的安全性、性能都比较优良,所以得到了广泛的应用。
防火墙发展展望
经过初步发展,从目前的防火墙市场来看,国内外防火墙厂商基本上都可以很好地支持防火墙的基本功能,包括访问控制、网络地址转换、代理、认证、日志审计等。但是,如上所述,随着网络攻击的增加,以及用户对网络安全的要求日益提高,防火墙必须有进一步的发展。结合目前的研发经验和成果,三一通讯网络安全研发部门指出,从应用和技术发展趋势来看,如何增强防火墙的安全性,提高防火墙的性能,丰富防火墙的功能,将成为防火墙厂商下一步所必需面对和解决的问题。
防火墙安全三元素
在网络安全问题上,首先需要明确的一点就是,成功的网络安全解决方案必须是由一系列技术、方案组成的立体架构,这要求安全厂商必须建立广泛的合作。目前来看,为了提高网络安全性,已经涌现出了IDS、反病毒、内容过滤、反垃圾邮件等众多安全技术。将这些技术都集成到防火墙中,做一个大而全的安全防火墙是不现实的,其结果是极大的牺牲防火墙的性能。因此,安全厂商必须一起制定更加开放的联动协议,从而构建起完整的安全体系,这将成为防火墙厂商,以及所有其他安全设备厂商将来的目标与责任。
从安全技术来看,审计是极为重要的一环,其功能设计有待加强。对于防火墙而言,其审计功能可以认为是防火墙主系统与审计子系统的联动,而不只是简单的日志。日志是对网络中发生的事件进行记录,是进行审计的素材。在日志的基础上,防火墙的审计系统不但能够追踪过去网络中发生的事件,按照审计策略得到审计结果,而且能使用户实时监控网络中的各种事件,得到实时的报警信息,在第一时间进行响应。目前大多数防火墙的审计功能只是指简单的日志,因而实现更加全面和有效的审计功能,也将成为是防火墙厂商今后的目标。
另外一个需要重视的问题是防火墙系统自身的安全性。因为防火墙本身就是网络安全的重要组成部分,它建立在不断地同破坏网络安全的行为斗争的基础上,其安全性是动态的,需要便捷的补丁、升级能力,具备一定的自我修复能力。因而提高防火墙系统自身的安全性,使其具备方便的升级与加载功能,也是防火墙厂商应该解决的问题。
丰富功能设计
纵观多种防火墙产品,用户在选择时,对于产品功能丰富与否都会非常重视。在中低端防火墙市场,提供更多的增值功能是未来的重要趋势。例如,支持广域网口、路由协议的防火墙可能会替代部分防火墙加路由器的传统组合;在防火墙中支持IPSEC协议族,可以实现虚拟专用网,有效保护数据的安全性、完整性;使防火墙支持PKI客户端,可以实现动态的密钥管理,构建有序的网络体系。
高端防火墙虽然对功能的要求相对简单,但是为了满足运营商的租赁防火墙的需求和对可靠性的要求,解决基于多个转发表的虚拟防火墙技术和支持session转移的双机热备将成为高端防火墙发展的目标。
不懈追求高性能
多功能、高安全性的防火墙可以让用户网络更加无忧,但前提是要确保网络的运行效率,因此在防火墙发展过程中,必须始终将高性能放在主要位置。目前来看,解决高速转发问题主要有三种方案:
首先,提高防火墙性能的最简单的方法是使用更高性能的硬件平台,比如可以采用多个CPU和SMP软件结构,可以加大DRAM容量来强行提升转发性能,但这种防火墙并不能从根本上提升性能,同时也会带来成本过高的问题。
第二种方案是通过专用的ASIC芯片来实现高速转发,其优点在于可以达到最优的性能,难度在于ASIC芯片的设计上。ASIC开发的周期很长,开发投入很大,并且需要有相当深厚的ASIC设计积累,而且,这种防火墙对新涌现的较大的系统改动需求反应能力很差。
第三种方案是通过选用合适的网络处理器或者网络处理芯片的组合以达到线速转发的性能要求。这种方案的优点在于网络处理器功能比较灵活,可以针对用户需求快速推出各种新功能。由于难度较小,同时也可以达到较高的性能,这种方案将在未来一段时间内成为防火墙实现高性能的主要解决方案。
