现在业界似乎有一种趋势认为防火墙好像没有什么用了,反正防火墙也挡不住什么攻击。在今年,“灰鸽子”和“熊猫烧香”等安全问题屡见不鲜,所以对于用户来说,尤其是那些资金比较充裕的大型行业用户,更倾向于购买一些比较贵的IDS或IPS解决方案。但事实上,防火墙还是有其用武之地的,防火墙还可以做得更多,或许对于很多用户来说,并没有必要再去花更多的钱购买IPS了。
现在,UTM、内容安全等成为了今天信息安全的新名词,在这样的大背景下,防火墙究竟应该是什么样子的呢?什么才是防火墙的立身之本呢?Secure Computing Corporation中国区总经理蔡勇及中国区技术总监郭伟一同阐释了这样的观点,从防火墙本身的设计来看,是作为安全防御的工具,而并不是现在业界的一些误导,所谓的防火墙是靠速度来取胜的,实际上,防火墙应该是靠安全性来制胜的,这才是防火墙的根本。
的确,防火墙从功能上讲,其本质是一个网络安全设备,而并不是路由器或者交换机,安全性应该是比网络通透性更为重要的参考指标。如果做到最后安全性反而缺失了的话,那“防火墙”就没有完成防火墙应该做的事情了,那么防火墙就真的变成了路由器。
当然出现这样的情况,在这其中涉及到了一个产业层面的问题,就是将来究竟是由传统的安全公司,还是由像思科这样的网络设备巨头来主导安全市场。在这里我们并不想讨论这个话题,还是想更多地关注防火墙产品本身。
除了安全性之外,对于防火墙来说,还有一点很重要,那就是应用层代理的高性能。要知道,在目前的互联网环境中,来自于应用层的攻击才是给企业、组织和个人的网络带来不安全因素的主要威胁,就算是网络层和传输层都没有问题,也并不能说明这个防火墙的性能就很好、就很安全。而也正是由于应用层的攻击在整个互联网上日益占据了主导地位,所以说应用层代理的性能才变得更为重要。
另外就是防火墙的主动防御性,Secure Computing Corporation推出的Sidewinder 7.0就是一款提供了主动式防护的防火墙,其集成了TrustedSource信誉技术。借助实时的评分系统可以切断与具有恶意信息的区域的连接,从而实现对垃圾邮件和钓鱼式攻击等安全威胁的防范,并且有效地释放了带宽空间和减轻了下游服务器的处理负担。
其实对于选择防火墙,或者说是对于信息安全的防御,并不应该是“拆东墙补西墙”,就拿前段时间出现的“灰鸽子”和“熊猫烧香”等病毒来说,出现了很多专杀产品,从商业的角度或者从技术的层面来看,就很有投机之嫌,当时是给堵上了,那明天再有别的什么“白鸽子”或者“猴子拜佛”之类的话,那又要怎么办呢?
所以,从另一个层面来讲的话,这也说明中国的用户对于安全问题并没有一个长远的规划。其实无论是选择防火墙或者是其他的安全产品,一个长远的布局是至关重要的。