防火墙技术发展思路初探
目前在防火墙业界对防火墙的发展普遍存在着两种观点,即所谓的胖瘦防火墙之争。一种观点认为,要采取分工协作,防火墙应该做得精瘦,只做防火墙的专职工作,可采取多家安全厂商联盟的方式来解决;另一种观点认为,把防火墙做得尽量的胖,把所有安全功能尽可能多地附加在防火墙上,成为一个集成化的网络安全平台。
从概念上讲,所谓“胖”防火墙是指功能大而全的防火墙,它力图将安全功能尽可能多地包含在内,从而成为用户网络的一个安全平台;而所谓“瘦”防火墙是指功能少而精的防火墙,它只作访问控制的专职工作,对于综合安全解决方案,则采用多家安全厂商联盟的方式来实现。
“胖”的技术路线
“胖”防火墙在保证基本功能的前提下,不断扩展增值功能——NAT、VPN、QoS以及入侵检测、防病毒等。“胖”防火墙将安全Solution趋向于一种注重功能大而全的单一产品体系,力图将防火墙系统开发成为一个安全域的整体解决方案,它的优点在于可以满足用户绝大部分的网络安全需求。
防火墙最开始也是一个单独的设备与概念,它和VPN、IDS、防病毒等都是同时并立的,但随着客户需求的不断变化,在大而全的思想引导下,防火墙慢慢集成了VPN,集成了IDS,甚至集成了防病毒网关。理论上,防火墙+IDS+防病毒+VPN部署已经可以提供较全面的保护,但由于大多数中小企业的用户并非安全专家,更不可能7×24 小时监视安全报告并作出响应,因此组合多种产品功能形成智能化的防御体系、发现并及时中止入侵的发生也就成为安全技术的一种发展方向。
另外,对于一般的客户来说,分别购买多个IDS、防火墙、VPN及防病毒网关产品是一个不小的财政负担,而高度集成的IDP系统令用户大大减少了同类支出并大大增加了效能,因此,市场上出现了“二合一”、“三合一”甚至是“四合一”的产品。它欲解决的问题在于降低采购和管理成本。
但是,这种“胖”防火墙目前更多地存在于理论上,实际进行产品化并已成功应用的并不多。“胖”防火墙追求的是一站式服务,目前它只适应中小型企业,尤其是低端用户。他们出于经济上的考虑以及管理上的成本,更主要的是出于安全的实际需求,希望一个设备可以为这种小型网络实现整体安全防护,所以对这种大而全的“胖”东西非常感兴趣。
“胖”防火墙的缺点也是很明显的,最突出的就是性能问题,只能着眼于小规模的网络,因为它强制将边界安全集中在单一控制点,本有性能瓶颈之忧;在性能瓶颈点增加IDS、AV等模块,又会加剧瓶颈效应;同时,附加模块将增加安全策略规则数目,也将加剧防火墙性能指标恶化(随规则增加,防火墙性能指标将成倍数下降);另外,附加模块不专业,功能不全面。很多厂家在初步定义产品时,都想做成“胖”防火墙,既有包过滤、又有代理,同时包含了入侵检测和防病毒,但是做着做着,就慢慢瘦下来了。况且单一产品功能多,也导致可靠性和安全性的降低;
集成化不应仅仅是产品的简单叠加,“胖”防火墙从概念上讲是可以的,但从技术实现上讲,有许多实际问题,可能造成的结果就是多而不精。
“瘦”的价值定位
一般来说,大型用户安全需求广泛,专业性要求强,安全投入较大,自身安全管理能力也较高,因此,这种客户均倾向于使用独立的安全设备,并渴望发挥每种产品的最大效果。而安全厂商也竭力挖掘每种安全产品的最大功能,“瘦”防火墙也就经历了从包过滤、应用代理、状态检测到深度检测、智能检测以及从双机热备到负载均衡、HA集群的发展阶段。
针对这类用户,为了要满足多种安全需求,安全厂商在设计安全解决方案时,通常会考虑以安全管理为核心,以多种安全产品的联动为基础,如防火墙与IDS和防病毒全面互动形成动态防御体系。以安全管理为核心使得安全网关不需要专人时时注视,不需要人工判断入侵事件,不需要预先设置大量的阻断规则,只需要在管理系统中根据安全需求设定互动规则。防病毒系统会在发现病毒后立即通知IDS添加到规则库中,而IDS 系统会在发现入侵行为后立即使防火墙产生阻断入侵的规则,从而自动为用户带来安全的信息环境。
许多有实力的厂商在不断推出“瘦”防火墙等专业安全产品的同时,开发并推出整体安全管理解决方案——信息安全管理平台,如Check Point公司的OPSEC Manager、联想集团的LeadSec Manager等。
安全管理平台能够为用户的网络应用建立方便完善的集中管理机制、统一协调机制、综合分析机制、关联响应机制,能在诸多方面为安全管理工作带来显著的效益。例如通过管理平台,能够配置IDS与防火墙、防病毒系统之间联动策略;当IDS检测到蠕虫病毒事件时,网络中的防火墙和防毒系统马上即可收到事件通报;于是防火墙采取行动,封堵病毒传播通道,防毒系统进入查杀过程。蠕虫病毒就被以最快的速度遏止,并被消灭在一个有限的网络范围内。
应用安全管理平台,可以使“瘦”防火墙等专业安全产品协同工作、关联响应,从而全面提高企业整体安全风险防范能力,这也是“瘦”防火墙得到越来越多客户青睐的重要原因。
当然,接口、联动、管理需要灵活的开放性和可扩展性。如果配合不当,出现红鞋与绿裤的组合,那呈现给用户的恐怕就不仅是俗气了。
“胖、瘦”相辅相成
从本质上讲,“胖、瘦”防火墙没有好坏之分,只有需求上的差别。低端的防火墙是一个集成的产品,它可以具有简单的安全防护功能,还可以具有一定的IDS功能,但一般不会集成防病毒功能。而中高端的防火墙更加专业化,安全和访问控制并重,主要对经过防火墙的数据包进行审核,安全会更加深化,对协议的研究更加深入,同时会支持多种通用的路由协议,对网络拓扑更加适应,VPN会集成到防火墙内,作为建立广域网安全隧道的一种手段,但防火墙不会集成IDS和防病毒,这些还是由专门的设备负责完成。
而用户又如何看待呢?他们关注只有两个方面:一是他们需要防火墙,二是他们需要其它的安全,但许多大的行业用户一旦进行网络安全设计,一般会进行较系统的规划,他们可能会将IDS、防火墙、防病毒等分开考虑、统一规划(也许他们的资金更充裕)。这个现象类比到“胖”、“瘦”防火墙来说,相当于这两种墙都有着自己的市场。随着技术的发展,“胖、瘦”防火墙将出现部分融合转化的趋势,而这种融合正是推动安全保障体系演进与安全产品形态演绎的重要力量。
无论“胖”还是“瘦”,任何一种防火墙只是为网络通信或者是数据传输提供更有保障的安全性,但是我们也不能完全依赖于防火墙。防火墙技术更多是在对报文包头的处理,而IDS技术和防病毒技术更多是对报文负载的处理,VPN技术是加密流量,还需要Honeynet、Forensics技术等。
用户的价值取向
安全业界不断出现新的概念和新的产品,作为最终使用者和受益者—用户来说,在选购的时候难免会有困惑:该如何避免来自方方面面的暗示和诱导呢?恐怕明确需求,把握实际是唯一的选择。当然,在选择的过程中,专家和厂商的经验需要借鉴,也是必不可少的。通过不断地沟通和学习,企业对自身需求的理解和对安全的认识也会与时俱进的。
选择防火墙,最为关键的自然是要了解自身的特点。以IT的眼光来看,信息安全的重要程度有两个层面,一个层面是指所有企业所共有的信息系统体系中,何者为重、何者次之;一个层面则是指具体到企业信息系统,也需要划分轻重缓急,在这个层面上主要表现为企业所属的行业所共有的特点。
第一个层面与企业的发展。程度有关发展中的中小企业由于处于不稳定期,对企业发展最为重要的应该是业务信息资源(包括客户信息、技术信息、市场信息等),其次是财务信息,再次是其他信息。而处于稳定期的大中型企业,更重视企业的均衡发展,特别是注重以人为本的信息资源,对管理、流程、人事、企业文化的注重,将会接近对企业业务和财务信息的重视程度。
第二个层面上的意义在于行业特点决定了信息安全系统的不同模式。防火墙做为一个网络安全设备,它必须与应用环境紧密地结合起来,其应用环境会变得更为全面与复杂,需要着重思考防火墙会用在什么环境中,这些应用环境又对防火墙提出了什么样的要求,因此防火墙市场会进一步细分。更值得关注的是,防火墙根据相应用户群的价格承受能力进行精致的定价。其中主打中小型企业市场的产品更强调性价比;从产品的角度讲,根据不同的产品系列、核心技术以及解决方案,同样会有相应细分的价格方案。用户可以在安全定制的基础上,实现“安全DIY”,只有理性、务实发展,才能成为市场上有竞争力的品牌。
总结而言,我们进行安全规划的思路应该是这样一条线:确定企业自身特点—确定信息安全需求—确定企业所能负担的成本—确定各个层次的具体措施—将成本与实施手段挂钩—平衡信息安全需求与投入之间的差异—制订具体的实施计划—进行实施考察与调整。
需求、成本、实施手段,一个都不能少。
构建联动一体的体系
没有绝对的“胖”和绝对的“瘦”,应该收敛目前市场上“胖防火墙”和“瘦防火墙”这两个极端观点。无论是“胖”防火墙的集成,还是“瘦”防火墙的联动,安全产品正在朝着体系化的结构发展,所谓“胖瘦”不过是这种体系结构的两种表现方式,“胖”将这种体系表现在一个产品中,而“瘦”将这种体系表现在一组产品或是说一个方案中。同时,这种体系化的结构需要非常完善的安全管理,也就是说,通过安全管理中心产品,整合系列安全产品,构架成联动和一体的产品体系,实现对用户、资源和策略的统一管理,确保整体解决方案的安全一致性,是构建网络安全系统的大趋势。
