【51CTO.com 獨(dú)家報道】“還用防火墻？防火墻都已經(jīng)被淘汰了！”，作為企業(yè)IT部門經(jīng)理，或是數(shù)據(jù)中心管理者，當(dāng)聽到有人這么說，會有何感想？記者就這個問題采訪了幾個企業(yè)數(shù)據(jù)中心的部門經(jīng)理，得到的答案幾乎是一樣的：“不用可以，那你告訴我，我該用什么呢？”。有這樣想法的用戶不在少數(shù)，也具有一定的代表意義。

由此看來，用戶并不關(guān)心誰被淘汰，他們只關(guān)心用什么解決問題。所以，本文無意探討防火墻是否應(yīng)該被淘汰，主要是想拋磚引玉，與各位讀者共同探討新一代防火墻應(yīng)該是什么樣子。

近日，記者就新一代防火墻技術(shù)與發(fā)展問題采訪了McAfee公司網(wǎng)絡(luò)防護(hù)產(chǎn)品推廣高級總監(jiān) Greg Brown先生。

[[13894]]

Greg在網(wǎng)絡(luò)安全和電信領(lǐng)域從業(yè)超過15年，與硅技術(shù)廠商、安全軟件/硬件廠商及服務(wù)商都擁有良好的合作關(guān)系。他曾為四大洲內(nèi)的多個國家IT安全基礎(chǔ)設(shè)施項(xiàng)目提供設(shè)計(jì)咨詢服務(wù)，還曾擔(dān)任30多個國家首批互聯(lián)網(wǎng)基礎(chǔ)設(shè)施項(xiàng)目的首席設(shè)計(jì)師。

其實(shí)，前面的問題在Greg看來，就是“防火墻是否能提供有效的防護(hù)？” 的問題。他認(rèn)為出現(xiàn)上述困惑的主要原因有三點(diǎn)：

第一：Web應(yīng)用數(shù)量出現(xiàn)爆炸性的增長
Greg向記者介紹，如今用戶部署了數(shù)以千萬的Web2.0的應(yīng)用，而且每天都在不斷變化。但目前傳統(tǒng)的防火墻技術(shù)一般而言只能應(yīng)對不超過200個的應(yīng)用，因此完全無法滿足數(shù)以千萬的網(wǎng)絡(luò)應(yīng)用產(chǎn)生的變化，更何況安全威脅也在成指數(shù)性增長。

此外，在最初設(shè)計(jì)防火墻的時候，只是讓它來應(yīng)對20—30的新網(wǎng)絡(luò)威脅的出現(xiàn)，它完全無法應(yīng)對這些不斷出現(xiàn)的網(wǎng)絡(luò)安全威脅，更無法對其進(jìn)行詳細(xì)的分析。Greg坦言：我看到很多客戶由于沒有實(shí)現(xiàn)自己在安全方面的目標(biāo)，遭受了非常慘重的成本損失。

第二：術(shù)業(yè)有專攻
Greg表示，技術(shù)是在不斷的發(fā)生變化，如果過于依賴自己的合作伙伴來研發(fā)新的技術(shù)，只能幫助廠商了解部分的威脅情況，或許有些廠商能夠偵測到現(xiàn)在的病毒，但是卻不知道這個病毒在網(wǎng)絡(luò)上出現(xiàn)的時候應(yīng)如何應(yīng)對。其結(jié)果就是用戶對于自己的內(nèi)部應(yīng)用一無所知，面對威脅變得很被動。所以，術(shù)業(yè)有專攻，有效的防護(hù)必須依靠專業(yè)的技術(shù)。

第三：防火墻需要技術(shù)革新
世界知名研究機(jī)構(gòu)Gartner認(rèn)為，防火墻市場需要極大的技術(shù)變革。Greg表示，經(jīng)實(shí)踐證明，傳統(tǒng)防火墻技術(shù)的管理成本較高，而且不能有效地執(zhí)行業(yè)務(wù)策略。最近幾年，傳統(tǒng)防火墻解決方案在應(yīng)對當(dāng)前大量的威脅以及不斷變化的應(yīng)用環(huán)境時已經(jīng)顯得力不從心，相關(guān)的管理成本急劇攀升，給企業(yè)造成了沉重的負(fù)擔(dān)。但現(xiàn)如今進(jìn)入了新世紀(jì)，防火墻技術(shù)也需要變革。沒有技術(shù)變革的防火墻，只能給用戶帶來“如何有效防護(hù)”這樣的困惑。

事實(shí)上，大部分業(yè)內(nèi)相關(guān)的技術(shù)人員都認(rèn)為，防火墻作為網(wǎng)絡(luò)邊界防護(hù)的老三樣產(chǎn)品，是需要有些變化了，只是出現(xiàn)的變化更有針對性。比如，前幾年市場上炙手可熱的UTM技術(shù)和產(chǎn)品，出現(xiàn)之初就解決了一部分中小企業(yè)的安全防護(hù)困擾；比如現(xiàn)在基于應(yīng)用層流量識別技術(shù)的Web應(yīng)用防火墻，就解決了目前很多網(wǎng)站的Web服務(wù)器的安全防護(hù)需求；再比如將IPS和防火墻進(jìn)行聯(lián)動，解決企業(yè)整體安全防護(hù)能力欠缺問題……，這些都是將傳統(tǒng)防火墻技術(shù)加以利用和吸收，發(fā)展出的一些新興技術(shù)和產(chǎn)品，其中一些技術(shù)和產(chǎn)品，已經(jīng)在市場上站穩(wěn)了腳跟，成為企業(yè)采購的必須品。

但是面對如今的數(shù)據(jù)中心虛擬化環(huán)境，云計(jì)算環(huán)境，防火墻還能怎樣變革呢？Greg認(rèn)為主要有三大變革：
應(yīng)對新威脅的功能
Greg認(rèn)為，新一代防火墻應(yīng)該在功能上有所改進(jìn)，比如在防火墻管理、應(yīng)用發(fā)現(xiàn)和保護(hù)以及集成的威脅保護(hù)層方面的顯著改進(jìn)。新一代防火墻應(yīng)使用信譽(yù)技術(shù)，包括基于信譽(yù)的攔截和地理位置功能，以便在不需要的流量到達(dá)網(wǎng)絡(luò)之前將其過濾，在發(fā)生攻擊之前將其阻止。并且，Greg認(rèn)為還有一點(diǎn)也很重要，新一代防火墻必須可幫助安全管理員發(fā)現(xiàn)和識別數(shù)千種應(yīng)用并執(zhí)行相應(yīng)的安全策略，為其提供額外的控制功能。

可視化的策略控制與管理
此外，Greg表示，新一代防火墻應(yīng)該具備實(shí)時地防火墻規(guī)則，以及規(guī)則變化對應(yīng)用的可用性和安全性所造成的影響。過去，管理員需要花費(fèi)幾個小時甚至幾天的時間來制定和部署規(guī)則以及執(zhí)行故障排除工作，新一代防火墻必須可以幫助他們，通過可視化的方式了解規(guī)則變化所帶來的業(yè)務(wù)影響，只需點(diǎn)擊幾下鼠標(biāo)即可完成上述任務(wù)，對IT部門管理人員來說，是再好不過的事情了。

靈活的部署和交付方式
新一代防火墻應(yīng)該既可用于傳統(tǒng)設(shè)備，也可用于新的虛擬化硬件設(shè)備，甚至可以作為一款基于軟件的防火墻虛擬設(shè)備來使用。這些新的交付方式使客戶能夠在整合數(shù)據(jù)中心和應(yīng)用環(huán)境以及引入新的虛擬環(huán)境時，充分利用虛擬化技術(shù)來降低成本、提高靈活性。

Greg向記者透露，前不久，McAfee Firewall Enterprise新一代防火墻第八版正式上市，作為新一代防火墻的代表產(chǎn)品，我們有理由相信當(dāng)傳統(tǒng)防火墻無法滿足安全防護(hù)需求時，IT部門經(jīng)理還有其他更好的選擇。

【51CTO.COM 獨(dú)家特稿，轉(zhuǎn)載請注明出處及作者！】