日前,WatchGuard公司负责把握防火墙战略方向和发展进程的网络安全部高级副总裁Marck W.Stevens一行访华,为中国用户带来有关防火墙技术发展的最新方向。
集成入侵防御功能
随着黑客攻击、蠕虫病毒、恶意代码的大量涌现,企业网络所面临的风险逐日倍增,传统的防火墙技术带来了巨大挑战。 Marck W.Stevens认为,在过去四年里,防火墙技术进展不大,在抵挡数目繁多、手法诡秘的新型攻击时显得力不从心。
许多用户将“包过滤”或“状态监测”防火墙作为防线,许多攻击利用了这类防火墙的缺陷。98%的网络通信是由 HTTP、FTP、SMTP和DNS构成,这些协议都有可能被黑客用来发动攻击,使防火墙麻痹大意,而放过攻击。如果防火墙的性能不够,由防火墙保护的网 络还容易遭受DoS和DDoS攻击。Marck W.Stevens认为在防线上添加入侵防御措施能够解决这一问题。用户可以采取两个方式来实现:一是在现有防火墙的基础上添加一个入侵防御系统,二是将现有防火墙替换成新型防火墙(又称“安全网关”),新型防火墙集成有入侵防御技术。
Marck W.Stevens赞成将入侵防御系统集成到防火墙中,主要是因为能够进行更好的DOS/DDoS保护,简化管理,降低配置错误,并且快速响应。如果使防 火墙与入侵防御系统相互独立,防火墙位于入侵防御之外,那么DoS攻击就可能在抵达IPS系统之前使防火墙超载。此外,独立的管理控制台加大了管理和配置 的复杂性,并有可能导致安全漏洞。自1997年开始,WatchGuard就在防火墙和VPN设备中集成了入侵防御功能,并且将在新一代防火墙当中为用户 提供全面的入侵防御功能。
深度应用层代理检测
Marck W.Stevens认为,代理技术是防火墙在网络中保护脆弱点的一种有效方式。“包过滤”和“状态包过滤”对数据进行检查的深度都无法与代理技术相媲美。 在防火墙技术发展初期,出于性能考虑,人们较多采用了包过滤和状态监测,而很少采用代理技术,目前已趋于成熟的ASIC和NP技术已经使得代理技术不会对 防火墙性能造成影响,速度问题已经不再是影响人们选择防火墙技术的因素了,相反随着安全威胁的日益复杂和深层化,深层次的应用层代理检测技术对防火墙正变 得越来越重要。
WatchGuard在防火墙当中使用代理技术,也是目前唯一能够在应用层(第七层)实现代理的安全厂商。在新一 代防火墙中,WatchGuard不仅提供在网络层和传输层的状态包过滤检测,而且还提供应用层用代理检测。具体来说,HTTP应用代理程序可以进行针对 性过滤内容,保护依赖互联网的企业应用免受HTML的攻击。SMTP应用代理程序实时监控接收和发送的邮件的内容,防止邮件服务器超载和受到邮件炸弹袭 击,根据邮件类型和名称来辨别邮件是否携带有蠕虫或者木马,并且能够自行阻击攻击行动,或者隐藏或改变内部的IP地址,避免受到攻击的可能。
Marck W.Stevens明确提出,防火墙未来的发展方向是安全应用网关。尽管防火墙并不是企业网络安全防线的终点,但是如果将防火墙与其他措施配合使用,并建 立一个层次化的安全机制,那么防火墙仍然是一个基础的防御工具。
Marck W.Stevens预言未来的防火墙
● 下一代防火墙将继续成为网络安全的基石
● 独立的入侵防御系统变得不具有竞争力,入侵防御将成为防火墙的一个功能
● 防火墙除了实现网络层安全外,还要实现应用层安全性
● 拥有更强的CPU处理能力和更大的存储空间,进行越来越繁重的处理
● ASIC和网络处理器将成为防火墙缩短处理延迟的关键