DPI命運如何
近期許多公司紛紛發表調查報告,報告里聲稱盡管現在特定于具體應用的防火墻越來越多,但他們仍然檢測到應用層蠕蟲和病毒的數量正在不斷增加。這時,帶有深度包檢測(Deep Packet Inspection, DPI)功能的防火墻成為了舌戰的焦點。我們知道,DPI功能將使得網絡管理員能夠配置數字位匹配模式用以匹配和鑒別特定的數據包。然而,恐怕這些防火墻廠商正在犯著十幾年前以太網網橋制造商就曾經犯過的錯誤。那時候,為了對抗路由器,網橋制造商引入了能按位模式來轉發數據包的所謂智能網橋,他們宣稱這些智能網橋融合了路由器的優點同時擯棄了路由器的缺點。也許他們說的沒錯,但事實是,配置這些智能網橋的門檻實在太高了,如果你的腦袋沒有博士級別的智商,那恐怕你很難能有機會懂明白這些智能網橋的配置細節。
現在看來DPI的實現似乎避免不了與這些智能網橋相同的命運。目前多數DPI引擎的缺省設置是不分青紅皂白就把所有外部數據通通拒之門外,因此表面上看起來好像確實提供了強有力的安全防護,然而對管理員來說真正的挑戰在于如何配置這些引擎使其具有識別數據的能力,如何可以讓它過濾掉那些無用或帶攻擊性的數據而只讓真正有用的數據進來,對很多防火墻管理員來說這個任務顯得是否艱巨。
就算對那些經驗豐富腦筋靈光的工程師來說這也是夠嗆的。nokia的產品概念工程師在談到DPI時直言“感覺不太好”,他說“我們有一個內部應用需要用到防火墻,我最終把所謂的智能應用(Check Point描述DPI引擎時所使用的術語)給徹底關了,實在是礙手礙腳,它缺省把所有的數據都給擋住了,這不是添亂嘛。”
先把易用性放在一邊。很難想象通用防火墻軟件廠商能保證自己的軟件能夠實現各種紛繁的IP語音(Voice over IP,VoIP)標準和協議。即使是那些做專業防火墻的公司在處理各種標準、RFC、VoIP相關的重要草案時也是相當頭疼,所以通用防火墻公司很難象那些專用防火墻公司一樣又快又省地及時支持新標準,更不用說那些標準的擴展了。
碰到這些情況網絡管理員該如何抉擇呢?對于通話量較低并且對IP電話要求比較簡單的情況,升級通用防火墻加入DPI支持是個可行的方案。另一方面,對高通話量的情況,通常需要把VoIP數據轉移到專用的防火墻上,只有一種情況例外,就是如果防火墻軟件廠商和IP專用分組交換機(IP PBX)廠商在技術上有合作的話,可以做到讓通用DPI防火墻更好地支持IP PBX的特殊功能,那么通用防火墻也有可能可以應付高通話量的要求。
部署專用安全設備可能可以比較快地解決問題,提供所謂的“單項優勢”(best-of-breed)安全防護,但這也意味著你要管理和維護更多的專業設備,從長期來看會造成成本的增加。雖然無法完全避免此類問題,但如果網絡管理員能充分發揮聰明才智考慮那些支持安全管理平臺的安全設備的話是可以將影響降到最低的。
如果網絡管理員和防火墻廠商剛好是DPI的追隨者的話,應該說也還是很有盼頭的。基本上改進DPI防火墻軟件人機交互和功能的方式有兩種,其一自然是通過內部開發改進完善,另一種就是通過收購那些剛起步的專業防火墻軟件公司并融合他們的技術優勢。
