當(dāng)代防火墻技術(shù)到底有什么問題

　　防火墻已經(jīng)是目前最成熟的網(wǎng)絡(luò)安全技術(shù)，也是市場上最常見的網(wǎng)絡(luò)安全產(chǎn)品。在網(wǎng)上Google一下“防火墻”，找到2540000個(gè)匹配項(xiàng);Google一下“firewall”，找到44200000個(gè)匹配項(xiàng)?？梢韵胂螅阑饓Y料之多如汪洋大海。面對(duì)這么多的信息，想對(duì)防火墻說三道四，還真不容易。目前，網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒、垃圾郵件、網(wǎng)絡(luò)陷阱，網(wǎng)頁被篡改的新聞太多，以致于公眾對(duì)“狼來了”已經(jīng)麻木、沒有反應(yīng)了。眾多的防火墻廠商，琳瑯滿目的防火墻產(chǎn)品，五花八門的防火墻新技術(shù)，充斥著網(wǎng)絡(luò)安全界?，F(xiàn)在網(wǎng)絡(luò)安全產(chǎn)業(yè)，不是用戶有什么問題，而是廠商有問題。防火墻技術(shù)已經(jīng)成熟，為廣大用戶所認(rèn)可，但是防火墻存在的問題被暴露出來，而且還很嚴(yán)重。用戶現(xiàn)在是在看防火墻廠商，看他們?cè)趺崔k。一位信息中心的老總在一次安全大會(huì)上叫板說，我已經(jīng)買了不少防火墻，別跟我來虛的，跟我說點(diǎn)有新意的東西?，F(xiàn)在不缺經(jīng)費(fèi)，就缺管用的東西。

　　現(xiàn)在的防火墻技術(shù)到底有什么問題?用戶到底要什么管用的東西?

　　1、向下看，別老向上看

　　業(yè)界流行的觀點(diǎn)是，高性能防火墻是防火墻未來發(fā)展的趨勢(shì)。高性能防火墻簡直就是防火墻硬件結(jié)構(gòu)不用X86。而對(duì)于高端防火墻的技術(shù)實(shí)現(xiàn)，不外乎基于NP技術(shù)或ASIC芯片技術(shù)。NP在網(wǎng)絡(luò)底層轉(zhuǎn)發(fā)和處理數(shù)據(jù)，可二次開發(fā)，但性能比ASIC差一點(diǎn)。ASIC技術(shù)難度大，很難開發(fā)，但性能好一點(diǎn)。NP和ASIC還沒有爭論完，有些聰明的廠商已經(jīng)找到訣竅，推出NP+ASIC的綜合方案，總算找到“最佳”的搭配方案。至于工控機(jī)架構(gòu)，明眼人一眼就看出了，搞NP和ASIC的人聯(lián)手，就說它性能不好，說多了就讓它淘汰。

　　真實(shí)的情況到底是什么?用戶到底是要安全還是要速度?安全和速度可是一對(duì)矛盾。在發(fā)生安全事故的時(shí)候，慢比快安全。如發(fā)生相撞事件，行人比騎自行車安全，騎自行車比開汽車安全，開汽車比坐飛機(jī)要強(qiáng)。不發(fā)生安全事故，當(dāng)然是效率越高越好，能坐火箭當(dāng)然不坐飛機(jī)。從這個(gè)意義上，如果是選擇路由器，當(dāng)然是速度和效率;如果是選擇安全設(shè)備，要是你是安全負(fù)責(zé)人的話，選慢的，別選快的。安全總是需要時(shí)間來處理，速度越快，效率越高，安全事故發(fā)生的時(shí)候就越?jīng)]救。哥侖比亞航天飛機(jī)下來的時(shí)候出了故障，連人影都找不著;飛機(jī)失事，人影還有，就是殘缺不全;兩個(gè)人走路相撞，生氣歸生氣，但基本不會(huì)有事。

　　這個(gè)道理用戶懂，可路由器和交換機(jī)已經(jīng)買了千兆的，怎么辦?怎么辦，買千兆防火墻!挑不挑NP或ASIC或X86，是你的事。其實(shí)，把安全問題放在千兆出口來解決，本身就不是一種理想的選擇。能在計(jì)算機(jī)上解決的，不要交給網(wǎng)絡(luò);能在10M口上解決的，不要交給100M;能在100M口上解決的不要交給1000M;如果你還打算把安全問題交給10000M口上去解決，那基本上就是不解決。

　　2、向內(nèi)看，別老向外看

　　來自網(wǎng)絡(luò)外部的安全問題當(dāng)然存在。黑客也罷，敵對(duì)勢(shì)力也罷，外部威脅還在。但是現(xiàn)在90%的安全問題在內(nèi)部，重點(diǎn)在內(nèi)部，不在外部。病毒發(fā)作，往往是內(nèi)部傳染的。掃描，往往是內(nèi)部的主機(jī)干的。要解決內(nèi)部的問題，現(xiàn)在的防火墻架構(gòu)形同虛設(shè)。一個(gè)只防外不管內(nèi)的防火墻，怎么管內(nèi)部的安全問題。再說，防火墻也管不著不經(jīng)過防火墻的流量。

　　現(xiàn)有的防火墻架構(gòu)是一種粗顆粒度的訪問控制，把整個(gè)內(nèi)部網(wǎng)絡(luò)當(dāng)作一個(gè)邏輯單元來處理。這種粗顆粒度的訪問控制機(jī)制不能滿足高安全性的要求，不能解決內(nèi)網(wǎng)的安全問題，因此我們需要細(xì)顆粒度的訪問控制機(jī)制。細(xì)顆粒度的訪問控制機(jī)制未來會(huì)很吃香。提高精度，總是好事。

　　要說向內(nèi)看，思科的網(wǎng)絡(luò)訪問控制(NAC)和微軟的網(wǎng)絡(luò)訪問保護(hù)(NAP)，都在向內(nèi)看。最近注意到華為也開始向內(nèi)看。無論是微軟還是思科，盡管有各自的算盤，但在向內(nèi)看這個(gè)問題上，倒是達(dá)成一致共識(shí)。分布式防火墻，全網(wǎng)安全，網(wǎng)格防火墻(Grid Firewall)，這三樣也是典型的向內(nèi)看的安全架構(gòu)。

　　無論是思科還是其它的公司，都從去年的SARS事件中得到啟發(fā)。如果網(wǎng)絡(luò)的某個(gè)主機(jī)不安全，在沒有有效辦法去解決的前提下，最好的辦法就是隔離。思科說，我從交換機(jī)上將其隔離。分布式防火墻說，我在每一個(gè)分布式防火墻上把這個(gè)IP和MAC給封了?？傊?，給隔離了。

　　向內(nèi)看肯定是一個(gè)趨勢(shì)。細(xì)顆粒度的訪問控制到底細(xì)到什么程度，目前還沒有明確的說法。如果能對(duì)每一個(gè)用戶，每一個(gè)IP，每一個(gè)MAC地址，都進(jìn)行訪問控制，可以肯定這是目前最細(xì)顆粒度的訪問控制。這樣的網(wǎng)絡(luò)，是一個(gè)強(qiáng)制訪問控制網(wǎng)絡(luò)。聽聽，這個(gè)名詞，強(qiáng)制訪問控制網(wǎng)絡(luò)(MACNET)，一聽就知道是安全的。如果你的網(wǎng)絡(luò)，每一個(gè)用戶都有防火墻，每一個(gè)IP都有防火墻，每一個(gè)MAC地址都有防火墻，你的內(nèi)網(wǎng)一定相當(dāng)安全。

　　3、來實(shí)的，別老來虛的

　　防火墻給人的感覺就是沒技術(shù)。要不然，怎么一下就好幾百個(gè)防火墻廠商，而且每家的功能都差不多。如今非要說防火墻還有什么技術(shù)的話，對(duì)其進(jìn)行DDoS攻擊，看看就知道了。Linux的防火墻家家都會(huì)，但Linux上的抗DDoS攻擊軟件的效果不是很好。解決DDoS攻擊是防火墻必須解決的問題。俗話說，養(yǎng)兵千日，用兵一時(shí)。敵人要打仗，你有什么辦法，對(duì)抗是唯一的辦法。在治理和封堵不能解決問題的情況下，對(duì)抗就是最后的辦法。

　　前不久看到一則消息，一家國內(nèi)的廠商的抗DDoS攻擊的防火墻，被國內(nèi)一名技術(shù)人員研制出一種專門針對(duì)該廠商的DDoS攻擊軟件。該廠商很生氣，對(duì)軟件的作者進(jìn)行了譴責(zé)。我倒覺得這不是什么壞事，該廠商也很爭氣，馬上給出一個(gè)改進(jìn)版本。這就對(duì)了，證明了自己的實(shí)力。這才叫打硬仗。那位程序人員也是了得，針對(duì)一個(gè)公司的產(chǎn)品給出相應(yīng)的攻擊工具，先不管做法對(duì)不對(duì)，對(duì)安全產(chǎn)業(yè)肯定會(huì)有幫助。

　　別說抗DDoS該怎么做，先給出抗DDoS的防火墻再說。現(xiàn)在網(wǎng)上DDoS的攻擊工具多的是，你不用，別人可沒說不用，還是測一測比較放心。聽說一些安全公司現(xiàn)在都有專門自制的DDoS測試工具，不妨向他們要一個(gè)，這也反映一個(gè)公司的技術(shù)實(shí)力。以子之矛攻子之盾，是最好的方法。用別人的矛攻子之盾，也是常見的方法。

　　邊界防火墻的發(fā)展趨勢(shì)，現(xiàn)在看來，可能就是一個(gè)支持IPS功能和抗DDoS攻擊的包過濾防火墻。就這點(diǎn)功能就夠了，別的事情，邊界防火墻管不好也管不了。

　　4、防火墻也搞“體驗(yàn)式營銷”

　　3月25日，金山宣布拋出300萬套毒霸的免費(fèi)下載;3月29日，瑞星發(fā)布了下載的“瑞星殺毒軟件2005網(wǎng)絡(luò)版”;江民科技網(wǎng)上下載業(yè)務(wù)也全面展開，宣布免費(fèi)殺毒。于是有人詢問，什么時(shí)候防火墻也能搞搞“免費(fèi)試用”。

　　網(wǎng)絡(luò)游戲在中國近兩年得到了巨大的成功。從網(wǎng)絡(luò)游戲中，殺毒廠商悟出了一個(gè)全新的軟件發(fā)展商業(yè)模式:那就是利用網(wǎng)絡(luò)讓用戶下載自己的軟件，再通過網(wǎng)絡(luò)游戲運(yùn)營之道改變軟件的生產(chǎn)、營銷和消費(fèi)模式。IDC公布的一份研究報(bào)告顯然支持了殺毒廠商的意見，由于消費(fèi)者和投資者需求的變化，歷史悠久的一次性銷售模式被售后不斷提供升級(jí)服務(wù)支持所取代。IDC在這份研究報(bào)告中得出結(jié)論:至2010年前，大部分軟件供應(yīng)商的主要財(cái)務(wù)收入將來源于更新許可證而不是永久性許可證。

　　盡管幾乎所有的國內(nèi)廠商都用的是Linux的免費(fèi)防火墻，但還真沒有一個(gè)向用戶免費(fèi)提供防火墻的廠商。如果一旦有人免費(fèi)提供防火墻，還真不知道防火墻市場會(huì)變成什么樣子。不過有一點(diǎn)可以肯定，就向IDC的報(bào)告所說的那樣，用戶還是需要不斷提供升級(jí)和安全服務(wù)，這些服務(wù)還是要收費(fèi)，可能收的一點(diǎn)也不少。

　　不過，殺毒廠商集體跳向免費(fèi)服務(wù)市場，還是讓一些防火墻廠商開始動(dòng)心。已經(jīng)有一些廠商的老總開始向業(yè)界咨詢這類問題。這往往是一個(gè)苗頭。如果有一天，防火墻廠商也搞免費(fèi)試用，提供服務(wù)來收取費(fèi)用，對(duì)目前市場的影響有多大，只有天知道。

　　5、規(guī)則配置向微軟學(xué)習(xí)

　　要問用戶對(duì)防火墻最害怕什么?用戶一定說最害怕給防火墻配規(guī)則。為什么?因?yàn)橐?guī)則配錯(cuò)了，防火墻的功能就不正確，安全出了問題，一定是用戶負(fù)責(zé)。所以用戶說，什么都愿意干，就是不愿意配規(guī)則。而規(guī)則恰恰是防火墻的靈魂，也是防火墻最大的難點(diǎn)。

　　為什么說配規(guī)則是防火墻的最大難點(diǎn)?因?yàn)閱为?dú)配一條規(guī)則很容易，配多條規(guī)則要保證其正確性卻很難，因?yàn)橐?guī)則與順序有關(guān)。ABC，ACB，BCA，BAC，CAB，CBA的結(jié)果，可能相同，也可能不同，在規(guī)則很多的情況下，要檢查和驗(yàn)證也很難。當(dāng)然，如果你只配一條規(guī)則，這個(gè)問題就不存在。

　　記得一位行業(yè)的用戶朋友詢問，有沒有賣安全規(guī)則的?如果有賣安全規(guī)則的，他就愿意去買規(guī)則，這樣他就不再擔(dān)心規(guī)則配置錯(cuò)誤。到現(xiàn)在為止，確實(shí)還沒有賣安全規(guī)則的。即使一些公司提供安全服務(wù)，幫助用戶配置一些規(guī)則，這同賣規(guī)則還是完全不同的兩碼事。

　　如果有一天，防火墻廠商把安全規(guī)則與廠商的防火墻分離，安全規(guī)則可能真的成為一個(gè)獨(dú)立的市場。也許那個(gè)時(shí)候，上面的朋友才能買到安全規(guī)則。這一點(diǎn)倒是很像醫(yī)和藥分離的制度，即看病和賣藥是完全分開的。醫(yī)生不準(zhǔn)買藥。藥店不準(zhǔn)開處方。如果是處方藥，必須要得到醫(yī)生的處方，藥店才能賣。

　　買不到規(guī)則，那位朋友還不死心，繼續(xù)詢問有沒有驗(yàn)證防火墻規(guī)則配置是否正確的驗(yàn)證工具。朋友很失望，嘮叨說，怎么不做一個(gè)這樣的工具?用戶都會(huì)花錢買這樣的工具。

　　在防火墻規(guī)則配置的問題上，防火墻廠商應(yīng)該向微軟公司學(xué)習(xí)。微軟公司的一大優(yōu)點(diǎn)，就是配置和使用簡單，而且結(jié)果所見即所得。什么時(shí)候防火墻廠商能夠像微軟那樣，讓防火墻配置和使用簡單，那一定是防火墻的發(fā)展趨勢(shì)。

　　6、防火墻價(jià)格向彩電學(xué)習(xí)

　　防火墻市場的競爭已經(jīng)白熱化，沒有理由不打防火墻的價(jià)格戰(zhàn)。原來老以為打價(jià)格戰(zhàn)就一定是低端防火墻?，F(xiàn)在看來，高端的防火墻也開始價(jià)格戰(zhàn)。其實(shí)價(jià)格戰(zhàn)沒有什么不好，把水份擠干凈，總是讓用戶受益。說白了，價(jià)格戰(zhàn)一開始，就不是成本定價(jià)，而是市場定價(jià)。Cisco推出1萬元以下的防火墻。國產(chǎn)廠商要打贏思科，一定得推出低價(jià)的高端防火墻，才能站穩(wěn)腳。只有當(dāng)?shù)蛢r(jià)防火墻市場流行以后，安全市場才能高度國產(chǎn)化。

　　從目前國外的市場來看，有PC上的免費(fèi)個(gè)人防火墻，有收費(fèi)的個(gè)人防火墻，有開放源碼的免費(fèi)防火墻(Linux)，也有收服務(wù)費(fèi)的開源防火墻。我們注意到一些國外的防火墻廠商，在美國的價(jià)格要比其在國內(nèi)的價(jià)格低的多得多。這種現(xiàn)象顯然不正常。

　　最近的一些行業(yè)投標(biāo)中，筆者驚喜地發(fā)現(xiàn)防火墻價(jià)格正在向彩電學(xué)習(xí)，這是一個(gè)好兆頭。說明防火墻市場成熟了。總有人擔(dān)心，價(jià)格低了沒有好東西，現(xiàn)在的彩電價(jià)格低，東西難道沒有原來好?市場這只看不見的手，管用的很。價(jià)廉物美，市場才成熟。