DPI命运如何
近期许多公司纷纷发表调查报告,报告里声称尽管现在特定于具体应用的防火墙越来越多,但他们仍然检测到应用层蠕虫和病毒的数量正在不断增加。这时,带有深度包检测(Deep Packet Inspection, DPI)功能的防火墙成为了舌战的焦点。我们知道,DPI功能将使得网络管理员能够配置数字位匹配模式用以匹配和鉴别特定的数据包。然而,恐怕这些防火墙厂商正在犯着十几年前以太网网桥制造商就曾经犯过的错误。那时候,为了对抗路由器,网桥制造商引入了能按位模式来转发数据包的所谓智能网桥,他们宣称这些智能网桥融合了路由器的优点同时摈弃了路由器的缺点。也许他们说的没错,但事实是,配置这些智能网桥的门槛实在太高了,如果你的脑袋没有博士级别的智商,那恐怕你很难能有机会懂明白这些智能网桥的配置细节。
现在看来DPI的实现似乎避免不了与这些智能网桥相同的命运。目前多数DPI引擎的缺省设置是不分青红皂白就把所有外部数据通通拒之门外,因此表面上看起来好像确实提供了强有力的安全防护,然而对管理员来说真正的挑战在于如何配置这些引擎使其具有识别数据的能力,如何可以让它过滤掉那些无用或带攻击性的数据而只让真正有用的数据进来,对很多防火墙管理员来说这个任务显得是否艰巨。
就算对那些经验丰富脑筋灵光的工程师来说这也是够呛的。nokia的产品概念工程师在谈到DPI时直言“感觉不太好”,他说“我们有一个内部应用需要用到防火墙,我最终把所谓的智能应用(Check Point描述DPI引擎时所使用的术语)给彻底关了,实在是碍手碍脚,它缺省把所有的数据都给挡住了,这不是添乱嘛。”
先把易用性放在一边。很难想象通用防火墙软件厂商能保证自己的软件能够实现各种纷繁的IP语音(Voice over IP,VoIP)标准和协议。即使是那些做专业防火墙的公司在处理各种标准、RFC、VoIP相关的重要草案时也是相当头疼,所以通用防火墙公司很难象那些专用防火墙公司一样又快又省地及时支持新标准,更不用说那些标准的扩展了。
碰到这些情况网络管理员该如何抉择呢?对于通话量较低并且对IP电话要求比较简单的情况,升级通用防火墙加入DPI支持是个可行的方案。另一方面,对高通话量的情况,通常需要把VoIP数据转移到专用的防火墙上,只有一种情况例外,就是如果防火墙软件厂商和IP专用分组交换机(IP PBX)厂商在技术上有合作的话,可以做到让通用DPI防火墙更好地支持IP PBX的特殊功能,那么通用防火墙也有可能可以应付高通话量的要求。
部署专用安全设备可能可以比较快地解决问题,提供所谓的“单项优势”(best-of-breed)安全防护,但这也意味着你要管理和维护更多的专业设备,从长期来看会造成成本的增加。虽然无法完全避免此类问题,但如果网络管理员能充分发挥聪明才智考虑那些支持安全管理平台的安全设备的话是可以将影响降到最低的。
如果网络管理员和防火墙厂商刚好是DPI的追随者的话,应该说也还是很有盼头的。基本上改进DPI防火墙软件人机交互和功能的方式有两种,其一自然是通过内部开发改进完善,另一种就是通过收购那些刚起步的专业防火墙软件公司并融合他们的技术优势。