防火墙可说是信息安全领域最成熟的产品之一,但是成熟不意味着发展的停滞,恰恰相反,日益提高的安全需求对信息安全产品提出了越来越高的要求,防火墙也不例外,下面我们就防火墙一些基本层面的问题来谈谈防火墙产品的主要发展趋势:
当前主流的防火墙技术基本上是通过预先的规则集配置动态地判断通过防火墙的数据流是合法数据还是非法数据来实现的,然而,***手段的不断丰富,使得恶意数据可能隐藏在很多看似合法的数据之中,从而对我们要保护的目标造成危害,举个简单的例子,对于单纯的数据包过滤防火墙来说,通常只针对过往数据包的源/目的地址、数据包类型等一些基本的元素进行检测和判断,而如果一个***序列被成功地隐藏在一个可以合法通过这些基本检测的数据流中,就会产生非常严重的伤害,尤其对那些认为自己的规则集非常完美的管理员来讲。也就是说,防火墙虽然是信息安全防护中的最重要力量,但是并不意味着防火墙可以解决一切安全问题,相反的,我们认为防火墙真正的定位应该是安全防御中的“有力武器”,通过防火墙产品的部署,我们可以树立起一道基本屏障,并且较为确实的获知这一防御层次的状态以及还需要哪些部件来进行何种方式的配合,要完全的解决应用环境中的安全问题,需要建立起覆盖性更大、功能型更强、层次性更广的整体防御体系,而当前的防火墙产品,也正积极的加强自身发展,希望可以在这个体系中占有更重要的位置。
模式的变化
传统的防火墙通常都设置在网络的边界位置,不论是内网与外网的边界,还是内网中的不同子网的边界,以数据流进行分隔,形成安全管理区域。但这种设计的最大问题是,恶意***的发起不仅仅来自于外网,内网环境同样存在着很多(甚至说更多)安全隐患,而对于这种问题边界式防火墙处理起来是比较困难的,所以现在越来越多的防火墙产品也开始体现出一种分布式结构,以分布式为体系进行设计的防火墙产品以网络节点为保护对象,可以最大限度的覆盖需要保护的对象,大大提升安全防护强度,这不仅仅是单纯的产品形式的变化,而是象征着防火墙产品防御理念的升华,以CheckPoint为代表的软件防火墙产品比较容易实现这种分布式概念,而以硬件部署为实现的情况下,一般可以通过在台式机、服务器、路由器等节点设备上插接专用的接口卡来完成。
目前防火墙的几种基本类型可以说各有优点,所以很多厂商将这些方式结合其来,以弥补单纯一种方式带来的漏洞和不足,例如比较简单的方式就是既针对传输层面的数据包特性进行过滤,同时也针对应用层的规则进行过滤,这种综合性的过滤设计可以充分挖掘防火墙核心功能的能力,可以说是在自身基础之上进行再发展的最有效途径之一,目前较为先进的一种过滤方式是带有状态检测功能的数据包过滤,其实这已经成为现有防火墙产品的一种主流检测模式了,可以预见的,未来的防火墙检测模式将继续整合进更多的范畴,而这些范畴的配合也同时获得大幅的提高。
就目前的现状来看,防火墙的信息记录功能日益完善,但对这些信息的利用却仍处于一个总体上的弱势地位。最初的防火墙系统所具备的日志能力,只是一种处于防火墙主功能之外的辅助功能,而随着安全系统管理要求、信息安全调查员工作要求以及对恶意行为起诉要求的全面提高,对防火墙日志能力的要求已经上升到一个接近与主功能部分相辅相成的高度,通过防火墙的日志系统,我们不但应能方便的够追踪过去网络中发生的事件,有时还要求能够完成与审计系统的联动,并且具备足够的验证能力,以保证在调查取证过程中采集的证据符合法律要求。相信这一方面的功能在未来会有很大幅度的增强,同时这也是众多安全系统中一个需要共同面对的问题。
功能的扩展
现在的防火墙产品已经呈现出一种集成多种功能的设计趋势,包括***、AAA、PKI 、IPSec等附加功能,甚至防病毒、***检测这样的主流功能,都被集成到防火墙产品中了,很多时候我们已经无法分辨这样的产品到底是以防火墙为主,还是以某个功能为主了,即其已经逐渐向我们普遍称之为IPS(***防御系统)的产品转化了。比较著名的一个功能集成方面的例子就是飞塔(Fortinet)防火墙在它的产品中集成了防病毒功能,这样的设计会对管理性带来不少提升,但同时也对防火墙产品的另外两个重要因素产生了影响,即性能和自身的安全问题,所以我们的意见是应该根据具体的应用环境来做综合的权衡,毕竟这个世界暂时还不存在什么完美的解决方案。
除了集成进其他功能之外,防火墙产品也可以通过联动的方式来与实现其他功能的防御设施进行整合,目前全球的大量信息安全产品供应商也一直在马不停蹄的制订各种标准,例如的CheckPoint发起的OPSEC(Open Platform for Security)就是目前最著名同时发展最成熟的安全产品互操作标准之一,这些标准的制订和应用有助于降低消费者的投资额度,为构筑完备的安全体系提供更广泛的支持;但是从现状来看,该类标准的实效性还没有达到设想中的程度,或者说还有很长的路要走,这也是包括防火墙在内的众多安全产品厂商在未来一个阶段需要着重解决的一个问题。
防火墙的管理功能一直在迅猛发展,并且不断的提供一些方便好用的功能给管理员,这种趋势仍将继续,更多新颖实效的管理功能会不断的涌现出来,例如短信功能,至少在大型环境里会成为标准配置,当防火墙的规则被变更或类似的被预先定义的管理事件发生之后,报警行为会以多种途径被发送至管理员处,包括即时的短信或移动电话拨叫功能,以确保安全响应行为在第一时间被启动,而且在将来,通过类似手机、PDA这类移动处理设备也可以方便的对防火墙进行管理,当然,这些管理方式的扩展需要首先面对的问题还是如何保障防火墙系统自身的安全性不被破坏。
性能的提高
未来的防火墙产品由于在功能性上的扩展,以及应用日益丰富、流量日益复杂所提出的更多性能要求,会呈现出更强的处理性能要求,而寄希望于硬件性能的水涨船高肯定会出现瓶颈,所以诸如并行处理技术等经济实用并且经过足够验证的性能提升手段将越来越多的应用在防火墙产品平台上;相对来说,单纯的流量过滤性能是比较容易处理的问题,而与应用层涉及越密,性能提高所需要面对的情况就会越复杂;在大型应用环境中,防火墙的规则库至少有上万条记录,而随着过滤的应用种类的提高,规则数往往会以趋进几何级数的程度上升,这是对防火墙的负荷是很大的考验,使用不同的处理器完成不同的功能可能是解决办法之一,例如利用集成进专有算法的协处理器来专门处理规则判断,在防火墙的某方面性能出现较大瓶颈时,我们可以单纯的升级某个部分的硬件来解决,这种设计有些已经应用到现有的产品中了,也许未来的防火墙产品会呈现出非常复杂的结构,当然,从某种角度来说,我们在祈祷这种状况最好还是不要发生 ^_^ 另外根据经验,除了硬件因素之外,规则处理的方式及算法也会对防火墙性能造成很明显的影响,所以在防火墙的软件部分也应该会融入更多先进的设计技术,并衍生出更多的专用平台技术,以期缓解防火墙的性能要求。
综上所述,不论从功能还是从性能来讲,防火墙产品的演进并不会放慢速度,反而产品的丰富程度和推出速度会不断的加快,这也反映了安全需求不断上升的一种趋势,而相对于产品本身某个方面的演进,更值得我们关注的还是平台体系结构的发展以及安全产品标准的发布,这些变化不仅仅关系到某个环境的某个产品的应用情况,更关系到信息安全领域的未来。

防火墙产品的发展趋势相关推荐

  1. 下一代防火墙是什么 下一代防火墙产品有哪些

    下一代防火墙,即Next Generation Firewall,简称NG Firewall,是一款可以全面应对应用层威胁的高性能防火墙.通过深入洞察网络流量中的用户.应用和内容,并借助全新的高性能单 ...

  2. 安全行业最全防火墙产品全家福

    安全行业最全防火墙产品全家福 威努特工控安全 2020-09-25 15:09:29 导 语 2015年威努特自主研发了国内首款工业防火墙.经过多年潜心打磨,防火墙系列产品已开发出4大类17款,全面覆 ...

  3. 绿盟科技软件测试招聘,绿盟科技防火墙产品团队招聘——来加入我们把~

    废话少说,开门见山: 可以直接投简历到 liuchenmei@nsfocus.com 欢迎推荐和自荐. base 成都. [防火墙后台开发工程师]--招聘初级,中级,高级岗位. 岗位职责: 1. 进行 ...

  4. 华三通信全系列防火墙产品获信息安全证书EAL3+

    经过多轮严格信息安全评估,华三通信全系列防火墙产品近日通过中国信息安全测评中心EAL3+级测试,获得<信息技术产品安全测评证书,级别:EAL3+>证书.华三通信也藉此成为国内唯一一家全系列 ...

  5. 网络防火墙技术及其发展趋势

    防火墙是由软件.硬件构成的系统,是一种特殊编程的路由器,用来在两个网络之间实施接入控制策略.接入控制策略是由使用防火墙的单位自行制订的,为的是可以最适合本单位的需要.它对两个或多个网络之间传输的数据包 ...

  6. 产品的发展趋势—让人类充满幸福感的产品

    摘要: 本文副标题:<游戏改变世界>读书笔记 今天,巨大而原始的"饥渴感"正折磨我们中的许多人,但他不是对食物的渴求,而是对更多.更好地投入到周围世界的渴求:对更满意的 ...

  7. 思科发布全新Firepower新一代防火墙产品

    思科刚刚发布了最新的防火墙解决方案,旨在彻底改变安全服务处理网络安全威胁的方式.这款新产品全名为Cisco Firepower Next-Generation Firewall(NGFW),思科Fir ...

  8. Zyxel 悄悄修复防火墙产品中的严重RCE漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Rapid7 该公司的威胁分析师发现了影响多款 Zyxel 产品的一个漏洞CVE-2022-30525(CVSS 评分9.8)并告知厂商.分析师 ...

  9. 阿里云Web应用防火墙产品优势与使用场景

    Web应用防火墙(Web Application Firewall, 简称 WAF), 是阿里基于10余年攻防经验完全自主研发的安全产品.其基于云安全大数据能力实现,通过防御SQL注入.XSS跨站脚本 ...

最新文章

  1. 正则重温(学习笔记)
  2. 谈家政O2O平台的出路
  3. 给JSP页面加过滤器
  4. LoadRunner 常用C语言函数使用
  5. redhat 挂载 iso文件 提示 mount :not a directory
  6. 大规模知识图谱预训练模型及电商应用
  7. Spring Http Invoke 请求过程图
  8. Python3基础3——List列表的增删改和内建函数的用法
  9. 前端:CheckBox事件函数js
  10. 国标28181: 视频国标28181协议
  11. 黑群晖折腾之此ip已被封锁
  12. VSCode添加背景图片
  13. DDoS攻击防范技术
  14. JAVA的教师档案管理系统_教师档案管理系统的设计与实现
  15. 解决报错Connection terminated as request was larger than 10485760
  16. MySQL、SqlServer、Oracle 三种数据库的优缺点总结
  17. oracle pga的作用,Oracle PGA作用
  18. 基于matlab的声音识别
  19. Win7输入法图标不见了怎么办
  20. 世界各国的12个王朝

热门文章

  1. 彻底关闭谷歌浏览器自动更新方法分享 取消chrome自动更新
  2. python实现对单机游戏内存修改
  3. 2019年-APP测试流程整理
  4. Android实现仿360手机卫士悬浮窗效果
  5. Win11上Pytorch的安装并在Pycharm上调用PyTorch最新超详细过程并附详细的系统变量添加过程,可解决pycharm中pip不好使的问题
  6. KKFileView(八)——系统配置
  7. vim 系列文章 - 001 vim及neovim编译安装(文末有福利)
  8. 英伟达显卡不同CUDA支持的计算能力情况及不同算力对应显卡列表
  9. 水波纹特效的C++模拟
  10. 北京辰星中医李慧英医生简介