從概念上講,所謂 “ 胖 ” 防火墻是指功能大而全的防火墻,它力圖將安全功能盡可能多地包含在內(nèi),從而成為用戶網(wǎng)絡的一個安全平臺;而所謂 “ 瘦 ” 防火墻是指功能少而精的防火墻,它只作訪問控制的專職工作,對于綜合安全解決方案,則采用多家安全廠商聯(lián)盟的方式來實現(xiàn)。
“ 胖 ” 的技術路線:
“ 胖 ” 防火墻在保證基本功能的前提下,不斷擴展增值功能 ——NAT 、 VPN 、 QoS 以及入侵檢測、防病毒等。 “ 胖 ” 防火墻將安全 Solution 趨向于一種注重功能大而全的單一產(chǎn)品體系,力圖將防火墻系統(tǒng)開發(fā)成為一個安全域的整體解決方案,它的優(yōu)點在于可以滿足用戶絕大部分的網(wǎng)絡安全需求。
防火墻最開始也是一個單獨的設備與概念,它和 VPN 、 IDS 、防病毒等都是同時并立的,但隨著客戶需求的不斷變化,在大而全的思想引導下,防火墻慢慢集成了 VPN ,集成了 IDS ,甚至集成了防病毒網(wǎng)關。理論上,防火墻 +IDS+ 防病毒 +VPN 部署已經(jīng)可以提供較全面的保護,但由于大多數(shù)中小企業(yè)的用戶并非安全專家,更不可能 7×24 小時監(jiān)視安全報告并作出響應,因此組合多種產(chǎn)品功能形成智能化的防御體系、發(fā)現(xiàn)并及時中止入侵的發(fā)生也就成為安全技術的一種發(fā)展方向。
另外,對于一般的客戶來說,分別購買多個 IDS 、防火墻、 VPN 及防病毒網(wǎng)關產(chǎn)品是一個不小的財政負擔,而高度集成的 IDP 系統(tǒng)令用戶大大減少了同類支出并大大增加了效能,因此,市場上出現(xiàn)了 “ 二合一 ” 、 “ 三合一 ” 甚至是 “ 四合一 ” 的產(chǎn)品。它欲解決的問題在于降低采購和管理成本。
但是,這種 “ 胖 ” 防火墻目前更多地存在于理論上,實際進行產(chǎn)品化并已成功應用的并不多。 “ 胖 ” 防火墻追求的是一站式服務,目前它只適應中小型企業(yè),尤其是低端用戶。他們出于經(jīng)濟上的考慮以及管理上的成本,更主要的是出于安全的實際需求,希望一個設備可以為這種小型網(wǎng)絡實現(xiàn)整體安全防護,所以對這種大而全的 “ 胖 ” 東西非常感興趣。
“ 胖 ” 防火墻的缺點也是很明顯的,最突出的就是性能問題,只能著眼于小規(guī)模的網(wǎng)絡,因為它強制將邊界安全集中在單一控制點,本有性能瓶頸之憂;在性能瓶頸點增加 IDS 、 AV 等模塊,又會加劇瓶頸效應;同時,附加模塊將增加安全策略規(guī)則數(shù)目,也將加劇防火墻性能指標惡化(隨規(guī)則增加,防火墻性能指標將成倍數(shù)下降);另外,附加模塊不專業(yè),功能不全面。很多廠家在初步定義產(chǎn)品時,都想做成 “ 胖 ” 防火墻,既有包過濾、又有代理,同時包含了入侵檢測和防病毒,但是做著做著,就慢慢瘦下來了。況且單一產(chǎn)品功能多,也導致可靠性和安全性的降低;
集成化不應僅僅是產(chǎn)品的簡單疊加, “ 胖 ” 防火墻從概念上講是可以的,但從技術實現(xiàn)上講,有許多實際問題,可能造成的結果就是多而不精。
“ 瘦 ” 的價值定位:
一般來說,大型用戶安全需求廣泛,專業(yè)性要求強,安全投入較大,自身安全管理能力也較高,因此,這種客戶均傾向于使用獨立的安全設備,并渴望發(fā)揮每種產(chǎn)品的最大效果。而安全廠商也竭力挖掘每種安全產(chǎn)品的最大功能, “ 瘦 ” 防火墻也就經(jīng)歷了從包過濾、應用代理、狀態(tài)檢測到深度檢測、智能檢測以及從雙機熱備到負載均衡、 HA 集群的發(fā)展階段。
針對這類用戶,為了要滿足多種安全需求,安全廠商在設計安全解決方案時,通常會考慮以安全管理為核心,以多種安全產(chǎn)品的聯(lián)動為基礎,如防火墻與 IDS 和防病毒全面互動形成動態(tài)防御體系。以安全管理為核心使得安全網(wǎng)關不需要專人時時注視,不需要人工判斷入侵事件,不需要預先設置大量的阻斷規(guī)則,只需要在管理系統(tǒng)中根據(jù)安全需求設定互動規(guī)則。防病毒系統(tǒng)會在發(fā)現(xiàn)病毒后立即通知 IDS 添加到規(guī)則庫中,而 IDS 系統(tǒng)會在發(fā)現(xiàn)入侵行為后立即使防火墻產(chǎn)生阻斷入侵的規(guī)則,從而自動為用戶帶來安全的信息環(huán)境。
許多有實力的廠商在不斷推出 “ 瘦 ” 防火墻等專業(yè)安全產(chǎn)品的同時,開發(fā)并推出整體安全管理解決方案 —— 信息安全管理平臺,如 Check Point 公司的 OPSEC Manager 、聯(lián)想集團的 LeadSec Manager 等。
安全管理平臺能夠為用戶的網(wǎng)絡應用建立方便完善的集中管理機制、統(tǒng)一協(xié)調機制、綜合分析機制、關聯(lián)響應機制,能在諸多方面為安全管理工作帶來顯著的效益。例如通過管理平臺,能夠配置 IDS 與防火墻、防病毒系統(tǒng)之間聯(lián)動策略;當 IDS 檢測到蠕蟲病毒事件時,網(wǎng)絡中的防火墻和防毒系統(tǒng)馬上即可收到事件通報;于是防火墻采取行動,封堵病毒傳播通道,防毒系統(tǒng)進入查殺過程。蠕蟲病毒就被以最快的速度遏止,并被消滅在一個有限的網(wǎng)絡范圍內(nèi)。
應用安全管理平臺,可以使 “ 瘦 ” 防火墻等專業(yè)安全產(chǎn)品協(xié)同工作、關聯(lián)響應,從而全面提高企業(yè)整體安全風險防范能力,這也是 “ 瘦 ” 防火墻得到越來越多客戶青睞的重要原因。
當然,接口、聯(lián)動、管理需要靈活的開放性和可擴展性。如果配合不當,出現(xiàn)紅鞋與綠褲的組合,那呈現(xiàn)給用戶的恐怕就不僅是俗氣了。
“ 胖、瘦 ” 相輔相成
從本質上講, “ 胖、瘦 ” 防火墻沒有好壞之分,只有需求上的差別。低端的防火墻是一個集成的產(chǎn)品,它可以具有簡單的安全防護功能,還可以具有一定的 IDS 功能,但一般不會集成防病毒功能。而中高端的防火墻更加專業(yè)化,安全和訪問控制并重,主要對經(jīng)過防火墻的數(shù)據(jù)包進行審核,安全會更加深化,對協(xié)議的研究更加深入,同時會支持多種通用的路由協(xié)議,對網(wǎng)絡拓撲更加適應, VPN 會集成到防火墻內(nèi),作為建立廣域網(wǎng)安全隧道的一種手段,但防火墻不會集成 IDS 和防病毒,這些還是由專門的設備負責完成。
而用戶又如何看待呢?他們關注只有兩個方面:一是他們需要防火墻,二是他們需要其它的安全,但許多大的行業(yè)用戶一旦進行網(wǎng)絡安全設計,一般會進行較系統(tǒng)的規(guī)劃,他們可能會將 IDS 、防火墻、防病毒等分開考慮、統(tǒng)一規(guī)劃(也許他們的資金更充裕)。這個現(xiàn)象類比到 “ 胖 ” 、 “ 瘦 ” 防火墻來說,相當于這兩種墻都有著自己的市場。隨著技術的發(fā)展, “ 胖、瘦 ” 防火墻將出現(xiàn)部分融合轉化的趨勢,而這種融合正是推動安全保障體系演進與安全產(chǎn)品形態(tài)演繹的重要力量。
無論 “ 胖 ” 還是 “ 瘦 ” ,任何一種防火墻只是為網(wǎng)絡通信或者是數(shù)據(jù)傳輸提供更有保障的安全性,但是我們也不能完全依賴于防火墻。防火墻技術更多是在對報文包頭的處理,而 IDS 技術和防病毒技術更多是對報文負載的處理, VPN 技術是加密流量,還需要 Honeynet 、 Forensics 技術等。
用戶的價值取向:
安全業(yè)界不斷出現(xiàn)新的概念和新的產(chǎn)品,作為最終使用者和受益者 — 用戶來說,在選購的時候難免會有困惑 : 該如何避免來自方方面面的暗示和誘導呢?恐怕明確需求,把握實際是唯一的選擇。當然,在選擇的過程中,專家和廠商的經(jīng)驗需要借鑒,也是必不可少的。通過不斷地溝通和學習,企業(yè)對自身需求的理解和對安全的認識也會與時俱進的。
選擇防火墻,最為關鍵的自然是要了解自身的特點。以 IT 的眼光來看,信息安全的重要程度有兩個層面,一個層面是指所有企業(yè)所共有的信息系統(tǒng)體系中,何者為重、何者次之;一個層面則是指具體到企業(yè)信息系統(tǒng),也需要劃分輕重緩急,在這個層面上主要表現(xiàn)為企業(yè)所屬的行業(yè)所共有的特點。
第一個層面與企業(yè)的發(fā)展。程度有關發(fā)展中的中小企業(yè)由于處于不穩(wěn)定期,對企業(yè)發(fā)展最為重要的應該是業(yè)務信息資源(包括客戶信息、技術信息、市場信息等),其次是財務信息,再次是其他信息。而處于穩(wěn)定期的大中型企業(yè),更重視企業(yè)的均衡發(fā)展,特別是注重以人為本的信息資源,對管理、流程、人事、企業(yè)文化的注重,將會接近對企業(yè)業(yè)務和財務信息的重視程度。
第二個層面上的意義在于行業(yè)特點決定了信息安全系統(tǒng)的不同模式。防火墻做為一個網(wǎng)絡安全設備,它必須與應用環(huán)境緊密地結合起來,其應用環(huán)境會變得更為全面與復雜,需要著重思考防火墻會用在什么環(huán)境中,這些應用環(huán)境又對防火墻提出了什么樣的要求,因此防火墻市場會進一步細分。更值得關注的是,防火墻根據(jù)相應用戶群的價格承受能力進行精致的定價。其中主打中小型企業(yè)市場的產(chǎn)品更強調性價比;從產(chǎn)品的角度講,根據(jù)不同的產(chǎn)品系列、核心技術以及解決方案,同樣會有相應細分的價格方案。用戶可以在安全定制的基礎上,實現(xiàn) “ 安全 DIY” ,只有理性、務實發(fā)展,才能成為市場上有競爭力的品牌。
總結而言,我們進行安全規(guī)劃的思路應該是這樣一條線:確定企業(yè)自身特點 — 確定信息安全需求 — 確定企業(yè)所能負擔的成本 — 確定各個層次的具體措施 — 將成本與實施手段掛鉤 — 平衡信息安全需求與投入之間的差異 — 制訂具體的實施計劃 — 進行實施考察與調整。
需求、成本、實施手段,一個都不能少。
構建聯(lián)動一體的體系:
沒有絕對的 “ 胖 ” 和絕對的 “ 瘦 ” ,應該收斂目前市場上 “ 胖防火墻 ” 和 “ 瘦防火墻 ” 這兩個極端觀點。無論是 “ 胖 ” 防火墻的集成,還是 “ 瘦 ” 防火墻的聯(lián)動,安全產(chǎn)品正在朝著體系化的結構發(fā)展,所謂 “ 胖瘦 ” 不過是這種體系結構的兩種表現(xiàn)方式, “ 胖 ” 將這種體系表現(xiàn)在一個產(chǎn)品中,而 “ 瘦 ” 將這種體系表現(xiàn)在一組產(chǎn)品或是說一個方案中。同時,這種體系化的結構需要非常完善的安全管理,也就是說,通過安全管理中心產(chǎn)品 , 整合系列安全產(chǎn)品,構架成聯(lián)動和一體的產(chǎn)品體系 , 實現(xiàn)對用戶、資源和策略的統(tǒng)一管理,確保整體解決方案的安全一致性,是構建網(wǎng)絡安全系統(tǒng)的大趨勢。
