2006年前����,提及網(wǎng)絡(luò)安全設(shè)備�����,相信大多數(shù)用戶首先想到的便是"防火墻"�。然而隨時(shí)間的遷移,近年來諸如UTM����、USG�����、Web安全網(wǎng)關(guān)、上網(wǎng)行為管理之類的新名詞逐漸占據(jù)了用戶的眼球���。在快餐文化盛行的年代���,這種層出不窮的新名詞或許并不讓人意外,但畢竟安全還是講求實(shí)事求是的����。我們不禁要問,是防火墻真的過時(shí)了?還是以UTM/USG為代表的新安全網(wǎng)關(guān)確實(shí)略勝一籌?
防火墻真的落伍了嗎?
從第一代防火墻的出現(xiàn)到今天�,防火墻已經(jīng)歷了二十余年的技術(shù)演變。這二十多年里���,防火墻從簡(jiǎn)單的包過濾技術(shù)�,逐漸發(fā)展成為具備動(dòng)態(tài)包檢測(cè)�����、網(wǎng)絡(luò)狀態(tài)監(jiān)控以及應(yīng)用層過濾等功能的綜合性安全網(wǎng)關(guān)�。
防火墻的演變也映射出用戶需求的轉(zhuǎn)變。從過去單純的網(wǎng)絡(luò)流量過濾到全方位立體的安全防御需求�,用戶愈發(fā)復(fù)雜的應(yīng)用環(huán)境���,促使深度包檢測(cè)、URL過濾�、VPN、身份認(rèn)證�����、流量管理�、協(xié)議識(shí)別等技術(shù)迅速興起。
也許正是看到了用戶需求的改變����,以Fortinet為代表的新型安全廠商紛紛打出了UTM/USG的王牌。然而���,令人遺憾的是不論UTM宣傳的如何精彩�����,其本質(zhì)并沒有與防火墻有所異同����,歸根結(jié)底都是依托ACL(訪問控制列表)技術(shù),而ACL技術(shù)正是防火墻賴以生存的根本����。
那么防火墻是否的確不如UTM般擁有豐富安全防護(hù)功能?其實(shí)不然�。早在2005年,業(yè)界就曾有過"胖瘦防火墻"的爭(zhēng)論�����,當(dāng)時(shí)的爭(zhēng)論的焦點(diǎn)正是防火墻所承載的各種安全防護(hù)功能�����。坦率的講如今的UTM和胖防火墻就技術(shù)而言并無二樣�����,基礎(chǔ)架構(gòu)精良的模塊化防火墻甚至可以實(shí)現(xiàn)比UTM更多的更有效的安全防護(hù)����。
由此可見,單從功能實(shí)現(xiàn)方面�,防火墻并不落伍。但是對(duì)于用戶的需求而言����,未來的防火墻必定要成為邊界安全防護(hù)的精品���。為此,不論防火墻也好�����,還是UTM/USG也好���,都必須腳踏實(shí)地的推動(dòng)技術(shù)創(chuàng)新�����。
概念VS實(shí)力
正如筆者前面所言���,如今主流的防火墻與UTM/USG并無本質(zhì)差別,二者所面臨的挑戰(zhàn)也是等同的�,也許唯一的不同要數(shù)市場(chǎng)對(duì)于UTM/USG的宣傳炒作遠(yuǎn)遠(yuǎn)大于防火墻的聲音。由此讓用戶對(duì)于防火墻產(chǎn)生些許誤解也不足為奇�。
近年來,國(guó)家對(duì)于信息安全極力提倡"自主�����、可控",顯然只有概念上炒作并不是國(guó)家所期望的�。信息安全行業(yè)內(nèi)的競(jìng)爭(zhēng),應(yīng)該是核心自主產(chǎn)權(quán)技術(shù)的創(chuàng)新����,是服務(wù)模式的創(chuàng)新���,而非概念的熱炒����。當(dāng)然���,安全也是一個(gè)敏感的字眼�����,當(dāng)今天的安全涉及到國(guó)家政治���、經(jīng)濟(jì)與社會(huì)穩(wěn)定時(shí),實(shí)事求是�、為用戶負(fù)責(zé)便顯得格外重要。
雖然IDC率先提出了UTM的概念���,然而坦率的說�����,目前可實(shí)現(xiàn)高性能�、高可用性以及高可擴(kuò)展性的UTM產(chǎn)品寥寥無幾。更為嚴(yán)重的是���,UTM始終缺乏可信賴的測(cè)試標(biāo)準(zhǔn)���。某業(yè)內(nèi)人士曾向筆者指出,UTM與防火墻設(shè)備的測(cè)試標(biāo)準(zhǔn)幾乎相同�����。
信息化建設(shè)速度的加快���,我國(guó)政府和企業(yè)對(duì)于安全網(wǎng)關(guān)的采購(gòu)需求正在逐漸增加����。通過OEM其他國(guó)外廠商的UTM產(chǎn)品����,又堂而皇之的出現(xiàn)在敏感行業(yè)采購(gòu)清單中的情況必須從根本上杜絕�����。
安全行業(yè)是需要?jiǎng)?chuàng)新的�����,但創(chuàng)新必須能夠?yàn)橛脩魩砀佑行У陌踩Wo(hù)���。當(dāng)前困擾安全網(wǎng)關(guān)的核心問題仍然是性能����。不可否認(rèn),多核����、NP等架構(gòu)對(duì)于系統(tǒng)性能的提升確有幫助,但要充分挖掘系統(tǒng)性能完善�����、高效的軟件架構(gòu)必不可少�����。
還是那句話,安全產(chǎn)品應(yīng)該靠實(shí)力去取勝����,因?yàn)槲覀冃枰獮橛脩糌?fù)責(zé)。
安全網(wǎng)關(guān)需以人為本
雖然UTM/USG仍存在很多不足�����,但有一點(diǎn)卻已經(jīng)得到了業(yè)界與用戶的共識(shí)����,綜合安全網(wǎng)關(guān)的發(fā)展趨勢(shì)已不可動(dòng)搖。愈發(fā)復(fù)雜的用戶業(yè)務(wù)系統(tǒng)讓獨(dú)立安全產(chǎn)品與技術(shù)顯得捉襟見肘�,對(duì)于安全網(wǎng)關(guān)而言,新的挑戰(zhàn)和機(jī)遇已經(jīng)來臨�。如何更有效的從邊界斬?cái)嗤{,如何打造更高效的模塊化操作系統(tǒng)���,都已成為當(dāng)前網(wǎng)絡(luò)安全廠商不得不思考的問題���。
毋庸置疑,更有效的安全網(wǎng)關(guān)�,需要更合理的安全體系架構(gòu)。天融信安全專家就曾指出���,新一代安全網(wǎng)關(guān)應(yīng)該可以靈活的滿足用戶不同的安全需求�����。即可以滿足用戶細(xì)粒度的安全威脅控制需求�����,又可以幫助用戶實(shí)現(xiàn)更加完整的安全體系����,最終為用戶實(shí)現(xiàn)實(shí)時(shí)動(dòng)態(tài)的安全審計(jì)。
用戶的需求�、專家的期盼以及軟硬件技術(shù)的快速發(fā)展����,防火墻全面升級(jí)的時(shí)代已經(jīng)到來,下一代安全網(wǎng)關(guān)必將是可按需定制的綜合安全網(wǎng)關(guān)���,即X-Firewall�。
最后���,我們還要再次強(qiáng)調(diào)安全是一門嚴(yán)謹(jǐn)?shù)膶W(xué)問�����,新一代安全網(wǎng)關(guān)面臨的挑戰(zhàn)還有很多�����,滿足用戶高性能�、高可用性以及高可擴(kuò)展性需求,才是贏得的用戶信賴的根本�。
關(guān)鍵詞標(biāo)簽:安全網(wǎng)關(guān)
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程
虛擬主機(jī)中ASPX一些安全設(shè)置
“和諧”內(nèi)網(wǎng)保護(hù)神——ProVisa內(nèi)網(wǎng)安全管理
Discuz!配置文件中的安全設(shè)置