日前,WatchGuard公司負(fù)責(zé)把握防火墻戰(zhàn)略方向和發(fā)展進程的網(wǎng)絡(luò)安全部高級副總裁Marck W.Stevens一行訪華,為中國用戶帶來有關(guān)防火墻技術(shù)發(fā)展的最新方向。
集成入侵防御功能
隨著黑客攻擊、蠕蟲病毒、惡意代碼的大量涌現(xiàn),企業(yè)網(wǎng)絡(luò)所面臨的風(fēng)險逐日倍增,傳統(tǒng)的防火墻技術(shù)帶來了巨大挑戰(zhàn)。Marck W.Stevens認(rèn)為,在過去四年里,防火墻技術(shù)進展不大,在抵擋數(shù)目繁多、手法詭秘的新型攻擊時顯得力不從心。
許多用戶將“包過濾”或“狀態(tài)監(jiān)測”防火墻作為防線,許多攻擊利用了這類防火墻的缺陷。98%的網(wǎng)絡(luò)通信是由HTTP、FTP、SMTP和DNS構(gòu)成,這些協(xié)議都有可能被黑客用來發(fā)動攻擊,使防火墻麻痹大意,而放過攻擊。如果防火墻的性能不夠,由防火墻保護的網(wǎng)絡(luò)還容易遭受DoS和DDoS攻擊。Marck W.Stevens認(rèn)為在防線上添加入侵防御措施能夠解決這一問題。用戶可以采取兩個方式來實現(xiàn):一是在現(xiàn)有防火墻的基礎(chǔ)上添加一個入侵防御系統(tǒng),二是將現(xiàn)有防火墻替換成新型防火墻(又稱“安全網(wǎng)關(guān)”),新型防火墻集成有入侵防御技術(shù)。
Marck W.Stevens贊成將入侵防御系統(tǒng)集成到防火墻中,主要是因為能夠進行更好的DOS/DDoS保護,簡化管理,降低配置錯誤,并且快速響應(yīng)。如果使防火墻與入侵防御系統(tǒng)相互獨立,防火墻位于入侵防御之外,那么DoS攻擊就可能在抵達(dá)IPS系統(tǒng)之前使防火墻超載。此外,獨立的管理控制臺加大了管理和配置的復(fù)雜性,并有可能導(dǎo)致安全漏洞。自1997年開始,WatchGuard就在防火墻和VPN設(shè)備中集成了入侵防御功能,并且將在新一代防火墻當(dāng)中為用戶提供全面的入侵防御功能。
深度應(yīng)用層代理檢測
Marck W.Stevens認(rèn)為,代理技術(shù)是防火墻在網(wǎng)絡(luò)中保護脆弱點的一種有效方式。“包過濾”和“狀態(tài)包過濾”對數(shù)據(jù)進行檢查的深度都無法與代理技術(shù)相媲美。在防火墻技術(shù)發(fā)展初期,出于性能考慮,人們較多采用了包過濾和狀態(tài)監(jiān)測,而很少采用代理技術(shù),目前已趨于成熟的ASIC和NP技術(shù)已經(jīng)使得代理技術(shù)不會對防火墻性能造成影響,速度問題已經(jīng)不再是影響人們選擇防火墻技術(shù)的因素了,相反隨著安全威脅的日益復(fù)雜和深層化,深層次的應(yīng)用層代理檢測技術(shù)對防火墻正變得越來越重要。
WatchGuard在防火墻當(dāng)中使用代理技術(shù),也是目前唯一能夠在應(yīng)用層(第七層)實現(xiàn)代理的安全廠商。在新一代防火墻中,WatchGuard不僅提供在網(wǎng)絡(luò)層和傳輸層的狀態(tài)包過濾檢測,而且還提供應(yīng)用層用代理檢測。具體來說,HTTP應(yīng)用代理程序可以進行針對性過濾內(nèi)容,保護依賴互聯(lián)網(wǎng)的企業(yè)應(yīng)用免受HTML的攻擊。SMTP應(yīng)用代理程序?qū)崟r監(jiān)控接收和發(fā)送的郵件的內(nèi)容,防止郵件服務(wù)器超載和受到郵件炸彈襲擊,根據(jù)郵件類型和名稱來辨別郵件是否攜帶有蠕蟲或者木馬,并且能夠自行阻擊攻擊行動,或者隱藏或改變內(nèi)部的IP地址,避免受到攻擊的可能。
Marck W.Stevens明確提出,防火墻未來的發(fā)展方向是安全應(yīng)用網(wǎng)關(guān)。盡管防火墻并不是企業(yè)網(wǎng)絡(luò)安全防線的終點,但是如果將防火墻與其他措施配合使用,并建立一個層次化的安全機制,那么防火墻仍然是一個基礎(chǔ)的防御工具。
Marck W.Stevens預(yù)言未來的防火墻
◆下一代防火墻將繼續(xù)成為網(wǎng)絡(luò)安全的基石
◆ 獨立的入侵防御系統(tǒng)變得不具有競爭力,入侵防御將成為防火墻的一個功能
◆防火墻除了實現(xiàn)網(wǎng)絡(luò)層安全外,還要實現(xiàn)應(yīng)用層安全性
◆ 擁有更強的CPU處理能力和更大的存儲空間,進行越來越繁重的處理
◆ASIC和網(wǎng)絡(luò)處理器將成為防火墻縮短處理延遲的關(guān)鍵
