防火墻技術(shù)發(fā)展的三個發(fā)展趨勢

防火墻可說是信息安全領(lǐng)域最成熟的產(chǎn)品之一，但是成熟并不意味著發(fā)展的停滯，恰恰相反，日益提高的安全需求對信息安全產(chǎn)品提出了越來越高的要求，防火墻也不例外，下面我們就防火墻一些基本層面的問題來談?wù)劮阑饓Ξa(chǎn)品的主要發(fā)展趨勢。
    模式轉(zhuǎn)變
    傳統(tǒng)的防火墻通常都設(shè)置在網(wǎng)絡(luò)的邊界位置，不論是內(nèi)網(wǎng)與外網(wǎng)的邊界，還是內(nèi)網(wǎng)中的不同子網(wǎng)的邊界，以數(shù)據(jù)流進(jìn)行分隔，形成安全管理區(qū)域。但這種設(shè)計的問題是，惡意攻擊的發(fā)起不僅僅來自于外網(wǎng)，內(nèi)網(wǎng)環(huán)境同樣存在著很多安全隱患，而對于這種問題，邊界式防火墻處理起來是比較困難的，所以現(xiàn)在越來越多的防火墻產(chǎn)品也開始體現(xiàn)出一種分布式結(jié)構(gòu)，以分布式為體系進(jìn)行設(shè)計的防火墻產(chǎn)品以網(wǎng)絡(luò)節(jié)點為保護(hù)對象，可以限度地覆蓋需要保護(hù)的對象，大大提升安全防護(hù)強(qiáng)度，這不僅僅是單純的產(chǎn)品形式的變化，而是象征著防火墻產(chǎn)品防御理念的升華。
    防火墻的幾種基本類型可以說各有優(yōu)點，所以很多廠商將這些方式結(jié)合起來，以彌補(bǔ)單純一種方式帶來的漏洞和不足，例如比較簡單的方式就是既針對傳輸層面的數(shù)據(jù)包特性進(jìn)行過濾，同時也針對應(yīng)用層的規(guī)則進(jìn)行過濾，這種綜合性的過濾設(shè)計可以充分挖掘防火墻核心功能的能力，可以說是在自身基礎(chǔ)之上進(jìn)行再發(fā)展的途徑之一，目前較為先進(jìn)的一種過濾方式是帶有狀態(tài)檢測功能的數(shù)據(jù)濾，其實這已經(jīng)成為現(xiàn)有防火墻產(chǎn)品的一種主流檢測模式了，可以預(yù)見，未來的防火墻檢測模式將繼續(xù)整合進(jìn)更多的范疇，而這些范疇的配合也同時獲得大幅的提高。
    就目前的現(xiàn)狀來看，防火墻的信息記錄功能日益完善，通過防火墻的日志系統(tǒng)，可以方便地追蹤過去網(wǎng)絡(luò)中發(fā)生的事件，還可以完成與審計系統(tǒng)的聯(lián)動，具備足夠的驗證能力，以保證在調(diào)查取證過程中采集的證據(jù)符合法律要求。相信這一方面的功能在未來會有很大幅度的增強(qiáng)，同時這也是眾多安全系統(tǒng)中一個需要共同面對的問題。
    功能擴(kuò)展
    現(xiàn)在的防火墻產(chǎn)品已經(jīng)呈現(xiàn)出一種集成多種功能的設(shè)計趨勢，包括VPN、AAA、PKI 、IPSec等附加功能，甚至防病毒、入侵檢測這樣的主流功能，都被集成到防火墻產(chǎn)品中了，很多時候我們已經(jīng)無法分辨這樣的產(chǎn)品到底是以防火墻為主，還是以某個功能為主了，即其已經(jīng)逐漸向我們普遍稱之為IPS（入侵防御系統(tǒng)）的產(chǎn)品轉(zhuǎn)化了。有些防火墻集成了防病毒功能，這樣的設(shè)計會對管理性能帶來不少提升，但同時也對防火墻產(chǎn)品的另外兩個重要因素產(chǎn)生了影響，即性能和自身的安全問題，所以我們的意見是應(yīng)該根據(jù)具體的應(yīng)用環(huán)境來做綜合的權(quán)衡，畢竟這個世界暫時還不存在什么完美的解決方案。
    防火墻的管理功能一直在迅猛發(fā)展，并且不斷地提供一些方便好用的功能給管理員，這種趨勢仍將繼續(xù)，更多新穎實效的管理功能會不斷地涌現(xiàn)出來，例如短信功能，至少在大型環(huán)境里會成為標(biāo)準(zhǔn)配置，當(dāng)防火墻的規(guī)則被變更或類似的被預(yù)先定義的管理事件發(fā)生之后，報警行為會以多種途徑被發(fā)送至管理員處，包括即時的短信或移動電話撥叫功能，以確保安全響應(yīng)行為在第一時間被啟動，而且在將來，通過類似手機(jī)、PDA這類移動處理設(shè)備也可以方便地對防火墻進(jìn)行管理，當(dāng)然，這些管理方式的擴(kuò)展需要首先面對的問題還是如何保障防火墻系統(tǒng)自身的安全性不被破壞。
    性能提高
    未來的防火墻產(chǎn)品由于在功能性上的擴(kuò)展，以及應(yīng)用日益豐富、流量日益復(fù)雜所提出的更多性能要求，會呈現(xiàn)出更強(qiáng)的處理性能要求，而寄希望于硬件性能的水漲船高肯定會出現(xiàn)瓶頸，所以諸如并行處理技術(shù)等經(jīng)濟(jì)實用并且經(jīng)過足夠驗證的性能提升手段將越來越多的應(yīng)用在防火墻產(chǎn)品平臺上；相對來說，單純的流量過濾性能是比較容易處理的問題，而與應(yīng)用層涉及越密，性能提高所需要面對的情況就會越復(fù)雜；在大型應(yīng)用環(huán)境中，防火墻的規(guī)則庫至少有上萬條記錄，而隨著過濾的應(yīng)用種類的提高，規(guī)則數(shù)往往會以趨進(jìn)幾何級數(shù)的程度上升，這是對防火墻的負(fù)荷是很大的考驗，使用不同的處理器完成不同的功能可能是解決辦法之一，例如利用集成專有算法的協(xié)處理器來專門處理規(guī)則判斷，在防火墻的某方面性能出現(xiàn)較大瓶頸時，我們可以單純地升級某個部分的硬件來解決，這種設(shè)計有些已經(jīng)應(yīng)用到現(xiàn)有的產(chǎn)品中了，也許未來的防火墻產(chǎn)品會呈現(xiàn)出非常復(fù)雜的結(jié)構(gòu)，當(dāng)然，從某種角度來說，我們祈禱這種狀況還是不要發(fā)生。
    另外根據(jù)經(jīng)驗，除了硬件因素之外，規(guī)則處理的方式及算法也會對防火墻性能造成很明顯的影響，所以在防火墻的軟件部分也應(yīng)該會融入更多先進(jìn)的設(shè)計技術(shù)，并衍生出更多的專用平臺技術(shù)，以期緩解防火墻的性能要求。
    綜上所述，不論從功能還是從性能來講，防火墻產(chǎn)品的演進(jìn)并不會放慢速度，反而產(chǎn)品的豐富程度和推出速度會不斷的加快，這也反映了安全需求不斷上升的一種趨勢，而相對于產(chǎn)品本身某個方面的演進(jìn)，更值得我們關(guān)注的還是平臺體系結(jié)構(gòu)的發(fā)展以及安全產(chǎn)品標(biāo)準(zhǔn)的發(fā)布，這些變化不僅僅關(guān)系到某個環(huán)境的某個產(chǎn)品的應(yīng)用情況，更關(guān)系到信息安全領(lǐng)域的未來。