对高端防火墙未来发展趋势的探讨

随着网络的广泛应用和普及,网络入侵行为、病毒破坏、垃圾邮件的处理和普遍存在的安全话题也成了人们日 趋关注的焦点,做为网络边界的第一道防线,由最初的路由器设备配置访问策略进行安全防护,到形成专业独立的防火墙产品,已经充斥了整个网络世界。做为保护 网络边界的安全产品,防火墙技术也已经逐步趋于成熟,并为广大用户所认可。但是防火墙所暴露的问题也慢慢的凸现出来,面对未来高端防火墙的发展趋势,无论 是从用户还是产品供应商,都不可避免的推向了一种对新型防火墙技术需求的角度。

1、高性能的防火墙需求

高性能防火墙是未来发展的趋势,突破高性能的极限就是对防火墙硬件结构的调整。而对于高端防火墙的技术 实现,现今主要分为三种方式: 基于通用处理器的工控机架构、基于NP技术、基于ASIC芯片技术。工控机架构最大的优点是灵活性,但在大数据流量的网络环境中处理效率会受影响,所以在 面对高性能这一方面,将面临淘汰和走进低端产品市场的趋势。NP技术是近年来的一个技术突破点,其优势在于网络底层数据的转发和处理,但如果要实现安全策 略的控制和审核,特别是对于应用层的深度控制方面还需要大量的研发工作,相对于接口方面的开发难度,已经局限了它更深层次的发展。ASIC技术虽然开发难 度大,但却能够保障系统的效率并很好地集成防火墙的功能,在今后网络安全防护的路途上,防火墙采用ASIC芯片技术将要成为主导地位。

2、管理接口和SOC的整合

如果把信息安全技术看做是一个整体行为的话,那么面对防火墙未来的发展趋势,管理接口和SOC整合也必 须考虑在内,毕竟安全是一个整体,而不是靠单一产品所能解决的。随着安全管理和安全运营工作的推行,SOC做为一种安全管理的解决方案已经得到大力推广。 安全管理是为了更有效的把安全风险控制在可控的范围内,从而进行降低和避免信息安全事件的发生。而防火墙做为一种安全访问控制机制产品,要想在安全管理中 起到有效的作用,必须考虑与SOC的整合问题,这就涉及到各个厂家对防火墙技术开发过程中的通用性和合作问题。

3、抗DoS能力

俗话说:道高一尺、魔高一丈,从近年来网络恶性攻击事件情况分析来看,解决DoS攻击也是防火墙必须要 考虑的问题了。做为网络的边界设备,一旦发生争用带宽和大流量攻击事件后,往往最先失去抵抗能力的就是发生在这里。而提高防火墙抗击DoS能力的技术问 题,也在缠绕着广大防火墙厂商。在新型技术不断更新的今天,各个厂家已经把矛头指向了解决DoS问题上来。利用ASIC芯片架构的防火墙,可以利用自身处 理网络流量速度快的能力,来解决存在于这个问题上的攻击事件。但是,解决这个问题并不是单单靠ASIC芯片架构就可以的,更多的还是面向对应用层攻击的问 题,有待于新技术的出现。

4、减慢蠕虫和垃圾邮件的传播速度的功能

网络的快速发展,已经成了病毒滋生的温床,而垃圾邮件的出现,更加扩大了网络安全威胁的风险。根据计算 机安全厂商MessageLabs公司的报告,已经看到垃圾邮件和病毒制造者联手开发更加智能化的病毒走向趋势,并通过电子邮件进行病毒传播。做为网络边 界的安全设备,未来防火墙发展趋势中,减缓和降低蠕虫病毒与垃圾邮件的传播速度,是必不可少的一部分了。对于防火墙来说,仅仅靠支持防病毒和防垃圾邮件功 能还远远不够,即使说能够进行有效的联动功能,那么这种情况下的防火墙产品和现今具备的情况来看,也只有高速处理能力的硬件,才能达到嵌入病毒引擎和处理 垃圾邮件引擎,来完成真正意义上的安全防护解决方案。而仅仅靠支持和联动,那么这种情况下,自身不具备而需要第三方产品的话,并不能在真正意义上解决问 题。加强防火墙对数据处理中的粒度和力度,已经成为未来防火墙对数据检测高粒度的发展趋势。

5、对入侵行为的智能切断

安全是一个动态的过程,而对于入侵行为的预见和智能切断,做为边界安全设备的防火墙来说,也是未来发展 的一大课题。从IPS的出发角度考虑,未来防火墙必须具备这项功能,因为客户不可能为了仅仅一个边界安全而去花两份钱。那么,具备对入侵行为智能切断的一 个整合型、多功能的防火墙,将是市场的需求。

6、多端口并适合灵活配置

多端口的防火墙能为用户更好的提供安全解决方案,而做为多端口、灵活配置的防火墙,也是未来防火墙发展 的趋势。

小结

随着网络处理器和ASIC芯片技术的不断革新,高性能、多端口、高粒度控制、减缓病毒和垃圾邮件传播速 度、对入侵行为智能切断、以及增强抗DoS攻击能力的防火墙,将是未来防火墙发展的趋势。