防火墙是关键控制还是全网服务

防火墙无疑是目前网络安全领域认可程度最高、应用范围最广的网络安全技术,根据CCID提供的数据,今年防火墙占整个信息安全产品市场的38.7%,略高于防病毒产品,位居第一。在这一年中,防火墙技术本身有了怎样的发展,又有什么新的思路和亮点呢?

由于防火墙技术已经发展了很长时间,技术已经比较成熟,几年来,其基本的框架和设计思路没有太多的变化,所调整的不过是对一些新应用的支持而已,在防火墙的基础功能上有了一些功能项的扩充。这样就对我们选用防火墙时提出一个问题——各家的防火墙好像都差不多,该有的功能都有,而且,即使某家新出了一种模块,很快别家也都有了,那么作为用户来说,究竟该如何选择适合自己的防火墙产品呢?

两种观点左右防火墙发展

对于防火墙的发展,业界现在有两种不同的观点,一种认为,防火墙处于网络安全体系中最关键的部位,这个部位控制力度的优劣直接影响到整个网络的安全级别,所以防火墙就应该具有强大的功能,应该囊括访问控制、入侵检测、VPN、防病毒、内容过滤、负载均衡、审计等各种功能,使各种安全威胁在网络边界就得到控制和消除,避免威胁渗透入网络内部的可能性,最大程度地保证系统整体的安全性。

两种联动方式的比较

另一种观点则认为,网络安全的目的是服务于网络应用,虽然安全性和应用性是相互矛盾的,但安全方案应该尽量使安全策略对系统应用的影响降低的最小。正是由于防火墙的位置特殊,我们更应该重点考虑防火墙的部署对于网络应用的影响。防火墙从其最初的设计思想以及其在信息安全方面的主要作用,就是为不同网段之间提供逻辑隔离手段,将不同级别的信任区域有效隔离,将网络的安全策略的制定和信息的流动进行集中管理和控制,为网络提供边界一级保护,是安全体系中的大门,也是网络防御中最主要的力量。从这个初衷出发,我们就应该在保证防火墙在访问控制中的作用的同时,提高它对数据流的处理能力。尤其随着网络技术的发展,百兆网、千兆网、甚至万兆网都开始普及,如果防火墙自身的性能跟不上网络应用的步伐,防火墙就会成为网络系统中的瓶颈,必将被用户所抛弃。

在这样的设计思路下,防火墙应专注于自身性能的提升和运行的稳定性、可靠性的保证,也就是对吞吐量(Throughput)(RFC 2544)、丢包率(Frame Loss Rate)(RFC 2544)、背靠背(Back-to-back)(RFC 2544)、延迟(Latency)(RFC 2544)、最大并发连接数(Concurrent Sessions)(RFC 2647)、最大策略数、最大Session数、DES和3DES下的性能表现加大研究力度,提高这些参数在防火墙系统中的表现能力。而防火墙的功能,应该力求简单可靠,可以确保其访问控制能力正常有效地运转。因此,对于那些对设备资源占用较大的其他功能,比如入侵检测、VPN、防病毒、内容过滤、负载均衡、审计等都应该从防火墙中剥离出去,这些防护手段可以通过与防火墙建立共同接口,以一种联动的方式建立立体的、层次化的防护体系。

不同的防火墙适用者不同

其实两种观点并不矛盾,恰恰相反,其基本出发点都是一致的,而且也反映出信息安全思想和相关知识已经在广大用户中得到了普及和认可,并且,用户的安全意识也在不断深入。我们常说,安全是动态的、立体的、全面的体系,是一个过程,仅仅一个防火墙是不可能解决所有安全问题的,这需要其他的手段相互支持、补充,所以需要IDS,需要VPN,需要防病毒。防火墙发展中所遇到的这些争论也正说明该体系概念的深入人心,只是在具体的表现方式上有所不同。而这种分歧也可以说是一种客户导向所致,客户网络建设的不同,客户应用的不同,客户安全要求的不同,以及客户安全预算的不同就造成了对防火墙的不同发展需求。

针对第一种观点,我们可以认为这是中小型、非以网络为经营盈利方式的企业应用模式,他们对于安全的需求是用最少的投资得到最高的安全保障,甚至可以说,他们希望用最少的投资得到既可以满足网络应用,又可以保障其网络安全的一揽子方案。那么,对于这种类型的需求,最好是在必不可少的防火墙上,同时能拥有各种安全防护手段,可以防病毒、入侵检测、加密传输。如果有可能的话,这个防火墙还可以提供各种网络应用,比如公司的WWW、MAIL等服务。在国外,这种需求的客户很多,相应地,也有许多厂家提供了这类的产品。

对于第二种观点,本人认为,是体现了安全的真正发展方向,也是提高安全性能的最有力的方式。通过一种分布式的、协作的方式,充分利用网络的力量,将每种技术中功能、性能最好的产品通过开放式的协议联系起来,进行互动,每种产品可以专注于自身技术的发展、完善和优化,实现优化组合的巨大力量。这种方式适合于网络应用,在企业运行中地位相当重要、安全需求很高、对于安全的投资力度也比较大的应用环境,比较典型的就是ISP、电信、金融等大型网络。这类产品很多,许多大的安全厂商都致力于这方面的研究,也积极地推出这种方式的标准。

文章录入:csh    责任编辑:csh

(0)

相关推荐

  • 防火墙是关键控制还是全网服务

    防火墙是关键控制还是全网服务

    防火墙无疑是目前网络安全领域认可程度最高.应用范围最广的网络安全技术,根据CCID提供的数据,今年防火墙占整个信息安全产品市场的38.7%,略高于防病毒产品,位居第一.在这一年中,防火墙技术本身有了怎样的发展,又有什么新的思路和亮点呢? 由于防火墙技术已经发展了很长时间,技术已经比较成熟,几年来,其基本的框架和设计思路没有太多的变化,所调整的不过是对一些新应用的支持而已,在防火墙的基础功能上有了一些功能项的扩充.这样就对我们选用防火墙时提出一个问题--各家的防火墙好像都差不多,该有的功能都有

  • PowerShell脚本中控制Windows DNS服务的方法

    PowerShell可以很方便的操作WMI,而DNS服务又提供了很好的WMI支持,所以,PowerShell可以通过操作WMI来操作Windows DNS服务. 1.获取DNS对象. 复制代码 代码如下: PS> $mydns = [WMIClass]"ROOT\MicrosoftDNS:MicrosoftDNS_ResourceRecord" 2.创建解析记录,使用CreateInstanceFromTextRepresentation方法. 复制代码 代码如下: PS>

  • Windows 服务控制管理器通信的命令行程序

    SC 是用于与服务控制管理器通信的命令行程序. 用法: sc <server> [command] [service name] <option1> <option2>... 选项 <server> 的格式为 "\\ServerName" 可以键入 "sc [command]"以获得命令的进一步帮助 命令: query-----------查询服务的状态, 或枚举服务类型的状态. queryex---------查询服

  • ASP.NET+Web服务实现软件共享

    ASP.NET+Web服务实现软件共享

    摘 要 本文提出一种新的通过软件功能共享而实现软件共享的方法,这种方法的优点是以远程调用Web服务的形式实现软件功能的共享,而不将软件拷贝到客户端,也减小了网络上的一些资源冗余,也有利于共享现有Web服务集成新的系统.而且本文通过学生身份验证模块实例分析了这种新方法的有效性. 引言 传统的软件共享是将软件从网络的服务器拷贝到客户端,以实现软件的共享,这种方法的缺点是每一个需要使用该软件的客户端都必须先拷贝该软件,导致网络上的空间冗余,因而导致产生了大量孤立的数据和重复的业务逻辑. Web ser

  • 浅析Windows 2000/XP服务与后门技术

    一.序言 Windows下的服务程序都遵循服务控制管理器(SCM)的接口标准,它们会在登录系统时自动运行,甚至在没有用户登录系统的情况下也会正常执行,类似与UNIX系统中的守护进程(daemon).它们大多是控制台程序,不过也有少数的GUI程序.本文所涉及到的服务程序仅限于Windows2000/XP系统中的一般服务程序,不包含Windows9X. 二.Windows服务简介 服务控制管理器拥有一个在注册表中记录的数据库,包含了所有已安装的服务程序和设备驱动服务程序的相关信息.它允许系统管理员为

  • CentOS7下Firewall防火墙配置用法详解(推荐)

    centos 7中防火墙是一个非常的强大的功能了,但对于centos 7中在防火墙中进行了升级了,下面我们一起来详细的看看关于centos 7中防火墙使用方法. FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具.它支持 IPv4, IPv6 防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项.它也支持允许服务或者应用程序直接添加防火墙规则的接口. 以前的 system-config-firewall/lokkit 防火墙模型是静态

  • window下注册服务的命令小结

    1. 描述:     SC 是用于与服务控制管理器通信的命令行程序 .    用法:  sc <server> [command] [service name] <option1> <option2>... 选项 <server> 的格式为 可以键入 "sc [command]"以获得命令的进一步帮助 命令: query---------------查询服务的状态,或枚举服务类型的状态.           queryex--------

  • 深入剖析哪些服务是Oracle 11g必须开启的

    深入剖析哪些服务是Oracle 11g必须开启的

    成功安装Oracle 11g数据库后,你会发现自己电脑运行速度会变慢,配置较低的电脑甚至出现非常卡的状况,通过禁止非必须开启的Oracle服务可以提升电脑的运行速度.那么,具体该怎么做呢? 按照win7 64位环境下Oracle 11g R2安装详解中的方法成功安装Oracle 11g后,共有7个服务,分别为Oracle ORCL VSS Writer Service,OracleDBConsoleorcl,OracleJobSchedulerORCL, OracleMTSRecoverySer

  • windows nfs 服务端安装配置教程

    windows7下面安装nfs客户端命令: 打开或关闭windows功能>nfs服务(勾选上)重启 hanewin(windows7下安装nfs服务)使用: 下载地址:http://www.hanewin.net/ 安装后需要生成注册码: liyuan3210/FBLZ3577F37E78FB 1.安装好后首先需要配置nfs服务端 NFS Server>Exports配置服务端目录 d:\nfsroot -name:nfsroot -umask:000 -public -mapall:0 2.

  • 实战宽带ADSL防火墙配置

    实战宽带ADSL防火墙配置

    如今是黑客平民化的时代,呆在自己家里上网都有可能会"中枪",时不时的攻击你一下,一定会让你头大.好在许多的宽带猫都内置了防火墙功能,只要我们开启该功能,就可以让我们的ADSL上网更加安全,更加有保障. 一.登陆宽带猫. 登陆宽带猫的方法很多,为了便于文章说明,我们这里以所见即所得的WEB管理方式登陆. 打开IE浏览器,在地址栏内输入宽带猫的IP后按回车键,出现如图1所示的登陆框,输入用户名和密码后单击"确定"按钮.这时我们就可以看到宽带猫的配置界面了. 提示:宽带猫

随机推荐