» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 防火墙 » 你到底需要什么关注防火墙技术新动向（转）   作者: 标题: 你到底需要什么关注防火墙技术新动向（转） hanker 版主 永远的偶像 积分 963 发帖 929 注册 2007-2-28 #1  你到底需要什么关注防火墙技术新动向（转） 　　防火墙已是目前最成熟的网络安全技术，也是市场上最常见的网络安全产品。在网上Google一下“防火墙”，找到2540000个匹配项;Google一下“firewall”，找到44200000个匹配项。能想象，防火墙资料之多如汪洋大海。面对这么多的信息，想对防火墙说三道四，还真不容易。目前，网络入侵、网络攻击、网络病毒、垃圾邮件、网络陷阱，网页被篡改的新闻太多，以致于公众对“狼来了”已麻木、没有反应了。众多的防火墙厂商，琳琅满目的防火墙产品，五花八门的防火墙新技术，充斥着网络安全界。目前网络安全产业，不是用户有什么问题，而是厂商有问题。防火墙技术已成熟，为广大用户所认可，不过防火墙存在的问题被暴露出来，而且还非常严重。用户目前是在看防火墙厂商，看他们怎么办。一位信息中心的老总在一次安全大会上叫板说，我已买了不少防火墙，别跟我来虚的，跟我说点有新意的东西。目前不缺经费，就缺管用的东西。 　　目前的防火墙技术到底有什么问题?用户到底要什么管用的东西? 　　1、向下看，别老向上看 　　业界流行的观点是，高性能防火墙是防火墙未来发展的趋势。高性能防火墙简直就是防火墙硬件结构不用X86。而对于高端防火墙的技术实现，不外乎基于NP 技术或ASIC芯片技术。NP在网络底层转发和处理数据，可二次研发，但性能比ASIC差一点。ASIC技术难度大，非常难研发，但性能好一点。NP和 ASIC还没有争论完，有些聪明的厂商已找到诀窍，推出NP+ASIC的综合方案，总算找到“最佳”的搭配方案。至于工控机架构，明眼人一眼就看出了，搞 NP和ASIC的人联手，就说他性能不好，说多了就让他淘汰。 　　真实的情况到底是什么?用户到底是要安全还是要速度?安全和速度可是一对矛盾。在发生安全事故的时候，慢比快安全。如发生相撞事件，行人比骑自行车安全，骑自行车比开汽车安全，开汽车比坐飞机要强。不发生安全事故，当然是效率越高越好，能坐火箭当然不坐飞机。从这个意义上，如果是选择路由器，当然是速度和效率;如果是选择安全设备，要是你是安全负责人的话，选慢的，别选快的。安全总是需要时间来处理，速度越快，效率越高，安全事故发生的时候就越没救。哥仑比亚航天飞机下来的时候出了故障，连人影都找不着;飞机失事，人影更有，就是残缺不全;两个人走路相撞，生气归生气，但基本不会有事。 　　这个道理用户懂，可路由器和交换机已买了千兆的，怎么办?怎么办，买千兆防火墙!挑不挑NP或ASIC或X86，是你的事。其实，把安全问题放在千兆出口来解决，本身就不是一种最佳的选择。能在计算机上解决的，不要交给网络;能在10M口上解决的，不要交给100M;能在100M口上解决的不要交给1000M;如果你还打算把安全问题交给10000M口上去解决，那基本上就是不解决。 　　2、向内看，别老向外看 　　来自网络外部的安全问题当然存在。黑客也罢，敌对势力也罢，外部威胁还在。不过目前90%的安全问题在内部，重点在内部，不在外部。病毒发作，往往是内部传染的。扫描，往往是内部的主机干的。要解决内部的问题，目前的防火墙架构形同虚设。一个只防外不管内的防火墙，怎么管内部的安全问题。再说，防火墙也管不着不经过防火墙的流量。 　　现有的防火墙架构是一种粗颗粒度的访问控制，把整个内部网络当作一个逻辑单元来处理。这种粗颗粒度的访问控制机制不能满足高安全性的需求，不能解决内网的安全问题，因此我们需要细颗粒度的访问控制机制。细颗粒度的访问控制机制未来会非常吃香。提高精度，总是好事。 　　要说向内看，思科的网络访问控制(NAC)和微软的网络访问保护(NAP)，都在向内看。最近注意到华为也开始向内看。无论是微软还是思科，尽管有各自的算盘，但在向内看这个问题上，倒是达成一致共识。分布式防火墙，全网安全，网格防火墙(Grid Firewall)，这三样也是典型的向内看的安全架构。 　　无论是思科还是其他的公司，都从SARS事件中得到启发。如果网络的某个主机不安全，在没有有效办法去解决的前提下，最佳的办法就是隔离。思科说，我从交换机上将其隔离。分布式防火墙说，我在每一个分布式防火墙上把这个IP和MAC给封了。总之，给隔离了。 　　向内看肯定是个趋势。细颗粒度的访问控制到底细到什么程度，目前还没有明确的说法。如果能对每一个用户，每一个IP，每一个MAC地址，都进行访问控制，能肯定这是目前最细颗粒度的访问控制。这样的网络，是个强制访问控制网络。听听，这个名词，强制访问控制网络(MACNET)，一听就知道是安全的。如果你的网络，每一个用户都有防火墙，每一个IP都有防火墙，每一个MAC地址都有防火墙，你的内网一定相当安全。 　　3、来实的，别老来虚的 　　防火墙给人的感觉就是没技术。要不然，怎么一下就好几百个防火墙厂商，而且每家的功能都差不多。如今非要说防火墙更有什么技术的话，对其进行DDoS攻击，看看就知道了。Linux的防火墙家家都会，但Linux上的抗DDoS攻击软件的效果不是非常好。解决DDoS攻击是防火墙必须解决的问题。俗话说，养兵千日，用兵一时。敌人要打仗，你有什么办法，对抗是唯一的办法。在治理和封堵不能解决问题的情况下，对抗就是最后的办法。 　　前不久看到一则消息，一家国内的厂商的抗DDoS攻击的防火墙，被国内一名技术人员研制出一种专门针对该厂商的DDoS攻击软件。该厂商非常生气，对软件的作者进行了谴责。我倒觉得这不是什么坏事，该厂商也非常争气，马上给出一个改进版本。这就对了，证实了自己的实力。这才叫打硬仗。那位程式人员也是了得，针对一个公司的产品给出相应的攻击工具，先不管做法对不对，对安全产业肯定会有帮助。 　　别说抗DDoS该怎么做，先给出抗DDoS的防火墙再说。目前网上DDoS的攻击工具多的是，你不用，别人可没说不用，还是测一测比较放心。听说一些安全公司目前都有专门自制的DDoS测试工具，不妨向他们要一个，这也反映一个公司的技术实力。以子之矛攻子之盾，是最佳的方法。用别人的矛攻子之盾，也是常见的方法。 　　边界防火墙的发展趋势，目前看来，可能就是个支持IPS功能和抗DDoS攻击的包过滤防火墙。就这点功能就够了，别的事情，边界防火墙管不好也管不了。 　　4、防火墙也搞“体验式营销” 　　3月25日，金山宣布抛出300万套毒霸的免费下载;3月29日，瑞星发布了下载的“瑞星杀毒软件2005网络版”;江民科技网上下载业务也全方面展开，宣布免费杀毒。于是有人询问，什么时候防火墙也能搞搞“免费试用”。 　　网络游戏在中国近两年得到了巨大的成功。从网络游戏中，杀毒厂商悟出了一个全新的软件发展商业模式:那就是利用网络让用户下载自己的软件，再通过网络游戏运营之道改动软件的生产、营销和消费模式。IDC公开的一份研究报告显然支持了杀毒厂商的意见，由于消费者和投资者需求的变化，历史悠久的一次性销售模式被售后不断提供升级服务支持所取代。IDC在这份研究报告中得出结论:至2010年前，大部分软件供给商的主要财务收入将来源于更新许可证而不是永久性许可证。 　　尽管几乎所有的国内厂商都用的是Linux的免费防火墙，但还真没有一个向用户免费提供防火墙的厂商。如果一旦有人免费提供防火墙，还真不知道防火墙市场会变成什么样子。不过有一点能肯定，就向IDC的报告所说的那样，用户还是需要不断提供升级和安全服务，这些服务还是要收费，可能收的一点也不少。 　　不过，杀毒厂商集体跳向免费服务市场，还是让一些防火墙厂商开始动心。已有一些厂商的老总开始向业界咨询这类问题。这往往是个苗头。如果有一天，防火墙厂商也搞免费试用，提供服务来收取费用，对目前市场的影响有多大，只有天知道。 ※ ※ ※ 本文纯属【hanker】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ http://hi.baidu.com/hanker315 2009-11-5 09:54 jackybaby 中级用户 积分 330 发帖 321 注册 2006-12-31 来自 sz #2   现在的防火墙有点不知何去何从了，彷徨啊。 ※ ※ ※ 本文纯属【jackybaby】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 微点+组策略，不知毒滋味。 2009-11-5 10:54 hanker 版主 永远的偶像 积分 963 发帖 929 注册 2007-2-28 #3   呵呵，当然安全这东西靠一个防火墙是不行的，现在整体安全解决方案还是挺强的，能在一定范围内控制到最低损失，就是使用不起来。很多有关安全的产品都没使用起来，所以造成病毒来袭，大面积瘫痪。安全不是一个杀毒软件和一个防火墙就能搞定的，还需要很多的限制，我感觉网络准入控制就是个很好的东西，好像最早的是landesk，他们的网络准入控制理念就挺好，添加不相信的规则，只要有这种系统接入网络就自动隔离。 当然了，越安全速度越慢，因为检测的东西多 ※ ※ ※ 本文纯属【hanker】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ http://hi.baidu.com/hanker315 2009-11-6 11:09 jackybaby 中级用户 积分 330 发帖 321 注册 2006-12-31 来自 sz #4   这东西越往高端研究，越发现真正的安全何等难求，有时太执着了，不惜一切代价追求安全，最终发现是一场空，最近比较热闹的事是HIPS被MJ踢爆了，一批失去信仰的信徒惶惶不可终日。其实跳出来做个普通用户来看，适可而止就好了，速度，方便，易用是用户任何时候都需要的。 另外：新的安全思想能用到微点上吗？ ※ ※ ※ 本文纯属【jackybaby】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 微点+组策略，不知毒滋味。 2009-11-6 12:22 hanker 版主 永远的偶像 积分 963 发帖 929 注册 2007-2-28 #5   越来越喜欢楼上了，呵呵，思路很清晰。 MJ的能力还是很强的，能在暗礁峰会演讲的都是国内牛人。 这么多人来服务于安全，可见安全这东西的难度。 新的安全思想能用到微点上吗，这个我也不知道 网络中所有的网络设备都是用来服务终端的，终端出事意味的生产能力降低或瘫痪。 微点网络版是部署在网络终端，微点的特殊机理本能就可以大大降低网络安全事故，如果微点网络版能有更新颖的安全手段那更好了，呵呵。 ※ ※ ※ 本文纯属【hanker】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ http://hi.baidu.com/hanker315 2009-11-17 10:49 黑天使 高级用户 积分 544 发帖 544 注册 2009-6-7 #6   太深奥了，多学习~ ※ ※ ※ 本文纯属【黑天使】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-12-18 17:02 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号