防火墙是在10年前互联网高速增长期间出现的。当时,企业要阻止外部人员访问企业网络。最简单的方法就是在企业网络的周围建立一个隔离区。随着网络的发展,阻止外部人员接触企业数据的目标没有变化,但是,实现这个目标的最佳方法却有一些变化。
市场研究公司Enterprise Strategy Group的高级分析师Jon Oltsik说,安全专业人员目前发现他们有许多配置选择。他说,企业知道他们需要部署防火墙功能。但是,防火墙建立在什么位置和这个防火墙包含什么功能越来越难确定了。
这种变化的一个原因是安全产品设计上的变化:厂商已经从集中的架构转向了分布式架构。另一个因素是许多安全产品之间的界限正在变得模糊不清。后面一个因素变化最大。这个结果是企业需要花费更多的时间和努力以便确定如何设计和部署防火墙。
过去,企业对于防火墙有一些选择。防火墙设备采用分层次的设计,企业可以把这种防火墙放在网络的入口, 也可以放在企业数据中心。此外,这种方法很容易管理并且提供了一个访问企业网络的标准安全方法。然而,如果防火墙的每一个数据包都要传送到中心位置,那 么,数据吞吐量就会受到设备处理器速度和处理能力的限制。因此,这就会出现性能的瓶颈。
最近,厂商为其产品提供了分布式的处理选择。他们一直把这种处理功能推到网络边缘或者推到网络的核心。这种变化为企业提供了设计的灵活性。安全专业人员能够把防火墙功能放在配线柜、网络边缘、核心或者数据中心。
这种方法有其好处。处理任务在硬件的不同部分完成。随着防火墙功能变得越来越分散(在某种情况下可以分 散到交换机的每一个端口),交换机和路由器的整个容量将增加,每一个端口都将采取全面的安全措施。这样做的缺点是这些设备将变得很难管理。厂商正在为其产 品提供更多的自动化功能来克服这个难题。
市场研究公司Burton Group的高级分析师Eric Maiwald说,除了位置的灵活性之外,这种新的设计还能够让企业以更精细的方式配置自己的防火墙。
Maiwald说,大多数防火墙目前都包含这些功能。因此,这些防火墙能够在应用层检查数据传输,而不是在网络层检查数据传输。因此,企业能够比微软的PowerPoint数据更严密地保护自己的人力资源数据、财务数据或者工程应用程序。
这种变化还能够帮助企业应付另一种网络发展。企业用户和外部用户的界限越来越模糊。最初,企业要限制全 部非本企业员工的访问。现在,企业经常邀请用户和客户访问它们的网络。现在,防火墙新建立的一种精细管理的功能可以让企业隔离客户网络,保证这些处理对企 业数据不会产生负面影响。
Oltsik说,因为防火墙现在能够检查应用层数据,这些防火墙还能够帮助甚至同化其它安全功能。他说,企业正在把各种功能集成在一起,例如把IDS(入侵检测系统)和垃圾邮件过滤功能集成到防火墙。
因此,在安全产品之间划分严格的界限越来越困难。一种趋势是统一威胁管理系统。这个系统把所有的安全功能都集中在一个系统中。
由于最近的技术进步,企业在部署防火墙方面比以前有更多的选择。但是,以前非常清楚的企业网络与外部用户之间的界限现在变得很难区分了。随着防火墙越来越复杂,防火墙的部署将要花费更多的时间。