當代防火墻技術到底有什么問題

　　防火墻已經是目前最成熟的網絡安全技術，也是市場上最常見的網絡安全產品。在網上Google一下“防火墻”，找到2540000個匹配項;Google一下“firewall”，找到44200000個匹配項?？梢韵胂?，防火墻資料之多如汪洋大海。面對這么多的信息，想對防火墻說三道四，還真不容易。目前，網絡入侵、網絡攻擊、網絡病毒、垃圾郵件、網絡陷阱，網頁被篡改的新聞太多，以致于公眾對“狼來了”已經麻木、沒有反應了。眾多的防火墻廠商，琳瑯滿目的防火墻產品，五花八門的防火墻新技術，充斥著網絡安全界?，F(xiàn)在網絡安全產業(yè)，不是用戶有什么問題，而是廠商有問題。防火墻技術已經成熟，為廣大用戶所認可，但是防火墻存在的問題被暴露出來，而且還很嚴重。用戶現(xiàn)在是在看防火墻廠商，看他們怎么辦。一位信息中心的老總在一次安全大會上叫板說，我已經買了不少防火墻，別跟我來虛的，跟我說點有新意的東西?，F(xiàn)在不缺經費，就缺管用的東西。

　　現(xiàn)在的防火墻技術到底有什么問題?用戶到底要什么管用的東西?

　　1、向下看，別老向上看

　　業(yè)界流行的觀點是，高性能防火墻是防火墻未來發(fā)展的趨勢。高性能防火墻簡直就是防火墻硬件結構不用X86。而對于高端防火墻的技術實現(xiàn)，不外乎基于NP技術或ASIC芯片技術。NP在網絡底層轉發(fā)和處理數(shù)據(jù)，可二次開發(fā)，但性能比ASIC差一點。ASIC技術難度大，很難開發(fā)，但性能好一點。NP和ASIC還沒有爭論完，有些聰明的廠商已經找到訣竅，推出NP+ASIC的綜合方案，總算找到“最佳”的搭配方案。至于工控機架構，明眼人一眼就看出了，搞NP和ASIC的人聯(lián)手，就說它性能不好，說多了就讓它淘汰。

　　真實的情況到底是什么?用戶到底是要安全還是要速度?安全和速度可是一對矛盾。在發(fā)生安全事故的時候，慢比快安全。如發(fā)生相撞事件，行人比騎自行車安全，騎自行車比開汽車安全，開汽車比坐飛機要強。不發(fā)生安全事故，當然是效率越高越好，能坐火箭當然不坐飛機。從這個意義上，如果是選擇路由器，當然是速度和效率;如果是選擇安全設備，要是你是安全負責人的話，選慢的，別選快的。安全總是需要時間來處理，速度越快，效率越高，安全事故發(fā)生的時候就越沒救。哥侖比亞航天飛機下來的時候出了故障，連人影都找不著;飛機失事，人影還有，就是殘缺不全;兩個人走路相撞，生氣歸生氣，但基本不會有事。

　　這個道理用戶懂，可路由器和交換機已經買了千兆的，怎么辦?怎么辦，買千兆防火墻!挑不挑NP或ASIC或X86，是你的事。其實，把安全問題放在千兆出口來解決，本身就不是一種理想的選擇。能在計算機上解決的，不要交給網絡;能在10M口上解決的，不要交給100M;能在100M口上解決的不要交給1000M;如果你還打算把安全問題交給10000M口上去解決，那基本上就是不解決。

　　2、向內看，別老向外看

　　來自網絡外部的安全問題當然存在。黑客也罷，敵對勢力也罷，外部威脅還在。但是現(xiàn)在90%的安全問題在內部，重點在內部，不在外部。病毒發(fā)作，往往是內部傳染的。掃描，往往是內部的主機干的。要解決內部的問題，現(xiàn)在的防火墻架構形同虛設。一個只防外不管內的防火墻，怎么管內部的安全問題。再說，防火墻也管不著不經過防火墻的流量。

　　現(xiàn)有的防火墻架構是一種粗顆粒度的訪問控制，把整個內部網絡當作一個邏輯單元來處理。這種粗顆粒度的訪問控制機制不能滿足高安全性的要求，不能解決內網的安全問題，因此我們需要細顆粒度的訪問控制機制。細顆粒度的訪問控制機制未來會很吃香。提高精度，總是好事。

　　要說向內看，思科的網絡訪問控制(NAC)和微軟的網絡訪問保護(NAP)，都在向內看。最近注意到華為也開始向內看。無論是微軟還是思科，盡管有各自的算盤，但在向內看這個問題上，倒是達成一致共識。分布式防火墻，全網安全，網格防火墻(Grid Firewall)，這三樣也是典型的向內看的安全架構。

　　無論是思科還是其它的公司，都從去年的SARS事件中得到啟發(fā)。如果網絡的某個主機不安全，在沒有有效辦法去解決的前提下，最好的辦法就是隔離。思科說，我從交換機上將其隔離。分布式防火墻說，我在每一個分布式防火墻上把這個IP和MAC給封了?？傊?，給隔離了。

　　向內看肯定是一個趨勢。細顆粒度的訪問控制到底細到什么程度，目前還沒有明確的說法。如果能對每一個用戶，每一個IP，每一個MAC地址，都進行訪問控制，可以肯定這是目前最細顆粒度的訪問控制。這樣的網絡，是一個強制訪問控制網絡。聽聽，這個名詞，強制訪問控制網絡(MACNET)，一聽就知道是安全的。如果你的網絡，每一個用戶都有防火墻，每一個IP都有防火墻，每一個MAC地址都有防火墻，你的內網一定相當安全。

　　3、來實的，別老來虛的

　　防火墻給人的感覺就是沒技術。要不然，怎么一下就好幾百個防火墻廠商，而且每家的功能都差不多。如今非要說防火墻還有什么技術的話，對其進行DDoS攻擊，看看就知道了。Linux的防火墻家家都會，但Linux上的抗DDoS攻擊軟件的效果不是很好。解決DDoS攻擊是防火墻必須解決的問題。俗話說，養(yǎng)兵千日，用兵一時。敵人要打仗，你有什么辦法，對抗是唯一的辦法。在治理和封堵不能解決問題的情況下，對抗就是最后的辦法。

　　前不久看到一則消息，一家國內的廠商的抗DDoS攻擊的防火墻，被國內一名技術人員研制出一種專門針對該廠商的DDoS攻擊軟件。該廠商很生氣，對軟件的作者進行了譴責。我倒覺得這不是什么壞事，該廠商也很爭氣，馬上給出一個改進版本。這就對了，證明了自己的實力。這才叫打硬仗。那位程序人員也是了得，針對一個公司的產品給出相應的攻擊工具，先不管做法對不對，對安全產業(yè)肯定會有幫助。

　　別說抗DDoS該怎么做，先給出抗DDoS的防火墻再說?，F(xiàn)在網上DDoS的攻擊工具多的是，你不用，別人可沒說不用，還是測一測比較放心。聽說一些安全公司現(xiàn)在都有專門自制的DDoS測試工具，不妨向他們要一個，這也反映一個公司的技術實力。以子之矛攻子之盾，是最好的方法。用別人的矛攻子之盾，也是常見的方法。

　　邊界防火墻的發(fā)展趨勢，現(xiàn)在看來，可能就是一個支持IPS功能和抗DDoS攻擊的包過濾防火墻。就這點功能就夠了，別的事情，邊界防火墻管不好也管不了。

　　4、防火墻也搞“體驗式營銷”

　　3月25日，金山宣布拋出300萬套毒霸的免費下載;3月29日，瑞星發(fā)布了下載的“瑞星殺毒軟件2005網絡版”;江民科技網上下載業(yè)務也全面展開，宣布免費殺毒。于是有人詢問，什么時候防火墻也能搞搞“免費試用”。

　　網絡游戲在中國近兩年得到了巨大的成功。從網絡游戲中，殺毒廠商悟出了一個全新的軟件發(fā)展商業(yè)模式:那就是利用網絡讓用戶下載自己的軟件，再通過網絡游戲運營之道改變軟件的生產、營銷和消費模式。IDC公布的一份研究報告顯然支持了殺毒廠商的意見，由于消費者和投資者需求的變化，歷史悠久的一次性銷售模式被售后不斷提供升級服務支持所取代。IDC在這份研究報告中得出結論:至2010年前，大部分軟件供應商的主要財務收入將來源于更新許可證而不是永久性許可證。

　　盡管幾乎所有的國內廠商都用的是Linux的免費防火墻，但還真沒有一個向用戶免費提供防火墻的廠商。如果一旦有人免費提供防火墻，還真不知道防火墻市場會變成什么樣子。不過有一點可以肯定，就向IDC的報告所說的那樣，用戶還是需要不斷提供升級和安全服務，這些服務還是要收費，可能收的一點也不少。

　　不過，殺毒廠商集體跳向免費服務市場，還是讓一些防火墻廠商開始動心。已經有一些廠商的老總開始向業(yè)界咨詢這類問題。這往往是一個苗頭。如果有一天，防火墻廠商也搞免費試用，提供服務來收取費用，對目前市場的影響有多大，只有天知道。

　　5、規(guī)則配置向微軟學習

　　要問用戶對防火墻最害怕什么?用戶一定說最害怕給防火墻配規(guī)則。為什么?因為規(guī)則配錯了，防火墻的功能就不正確，安全出了問題，一定是用戶負責。所以用戶說，什么都愿意干，就是不愿意配規(guī)則。而規(guī)則恰恰是防火墻的靈魂，也是防火墻最大的難點。

　　為什么說配規(guī)則是防火墻的最大難點?因為單獨配一條規(guī)則很容易，配多條規(guī)則要保證其正確性卻很難，因為規(guī)則與順序有關。ABC，ACB，BCA，BAC，CAB，CBA的結果，可能相同，也可能不同，在規(guī)則很多的情況下，要檢查和驗證也很難。當然，如果你只配一條規(guī)則，這個問題就不存在。

　　記得一位行業(yè)的用戶朋友詢問，有沒有賣安全規(guī)則的?如果有賣安全規(guī)則的，他就愿意去買規(guī)則，這樣他就不再擔心規(guī)則配置錯誤。到現(xiàn)在為止，確實還沒有賣安全規(guī)則的。即使一些公司提供安全服務，幫助用戶配置一些規(guī)則，這同賣規(guī)則還是完全不同的兩碼事。

　　如果有一天，防火墻廠商把安全規(guī)則與廠商的防火墻分離，安全規(guī)則可能真的成為一個獨立的市場。也許那個時候，上面的朋友才能買到安全規(guī)則。這一點倒是很像醫(yī)和藥分離的制度，即看病和賣藥是完全分開的。醫(yī)生不準買藥。藥店不準開處方。如果是處方藥，必須要得到醫(yī)生的處方，藥店才能賣。

　　買不到規(guī)則，那位朋友還不死心，繼續(xù)詢問有沒有驗證防火墻規(guī)則配置是否正確的驗證工具。朋友很失望，嘮叨說，怎么不做一個這樣的工具?用戶都會花錢買這樣的工具。

　　在防火墻規(guī)則配置的問題上，防火墻廠商應該向微軟公司學習。微軟公司的一大優(yōu)點，就是配置和使用簡單，而且結果所見即所得。什么時候防火墻廠商能夠像微軟那樣，讓防火墻配置和使用簡單，那一定是防火墻的發(fā)展趨勢。

　　6、防火墻價格向彩電學習

　　防火墻市場的競爭已經白熱化，沒有理由不打防火墻的價格戰(zhàn)。原來老以為打價格戰(zhàn)就一定是低端防火墻?，F(xiàn)在看來，高端的防火墻也開始價格戰(zhàn)。其實價格戰(zhàn)沒有什么不好，把水份擠干凈，總是讓用戶受益。說白了，價格戰(zhàn)一開始，就不是成本定價，而是市場定價。Cisco推出1萬元以下的防火墻。國產廠商要打贏思科，一定得推出低價的高端防火墻，才能站穩(wěn)腳。只有當?shù)蛢r防火墻市場流行以后，安全市場才能高度國產化。

　　從目前國外的市場來看，有PC上的免費個人防火墻，有收費的個人防火墻，有開放源碼的免費防火墻(Linux)，也有收服務費的開源防火墻。我們注意到一些國外的防火墻廠商，在美國的價格要比其在國內的價格低的多得多。這種現(xiàn)象顯然不正常。

　　最近的一些行業(yè)投標中，筆者驚喜地發(fā)現(xiàn)防火墻價格正在向彩電學習，這是一個好兆頭。說明防火墻市場成熟了?？傆腥藫模瑑r格低了沒有好東西，現(xiàn)在的彩電價格低，東西難道沒有原來好?市場這只看不見的手，管用的很。價廉物美，市場才成熟。