關(guān)注安全領(lǐng)域的人對(duì)于防火墻都不陌生，他們僅僅是整個(gè)網(wǎng)絡(luò)安全組織的一部分而已，類似于XML。但是，防火墻是永遠(yuǎn)也不會(huì)消失的。長(zhǎng)期以來(lái)，防火墻都是網(wǎng)絡(luò)中的最后一道防線，然而，隨著威脅類型的不斷變化和增長(zhǎng)，一些國(guó)家和組織機(jī)構(gòu)也針對(duì)防火墻的安放位置進(jìn)行了大量的討論和研究，卻沒有取得很好的成效。在這樣一個(gè)幾乎所有的安全措施都不能起到成效的時(shí)代里，防火墻還有作用嗎?這里我們?yōu)榇蠹腋爬朔阑饓v史上的幾個(gè)里程碑，主要是從早期的采用包過(guò)濾技術(shù)而作為代理服務(wù)器的防火墻到下一代防火墻這段時(shí)期，包括云防火墻。同時(shí)，我們也預(yù)測(cè)了防火墻以及防火墻管理的發(fā)展趨勢(shì)。

[[86659]]

里程碑一：作為代理服務(wù)器的防火墻

在20世紀(jì)90年代初期，防火墻僅僅是一個(gè)代理服務(wù)器，這是一項(xiàng)特別簡(jiǎn)單的技術(shù)。在這個(gè)階段，防火墻通常設(shè)置在網(wǎng)絡(luò)的邊界位置，并且用于代理內(nèi)部網(wǎng)絡(luò)的流量資源，這些流量可以經(jīng)過(guò)過(guò)濾形成其他資源。

里程碑二：包過(guò)濾防火墻

在20世紀(jì)90年代初期，其實(shí)也有包過(guò)濾這項(xiàng)技術(shù)，主要運(yùn)行在服務(wù)器上，用來(lái)檢測(cè)進(jìn)入網(wǎng)絡(luò)的流量。管理員可以創(chuàng)建安全策略以及基本的規(guī)則庫(kù)，完成包過(guò)濾要基于TCP/IP的5個(gè)屬性：源IP、源端口、目的IP、目的端口和目的地協(xié)議。

里程碑三：狀態(tài)防火墻

每一次包過(guò)濾只針對(duì)個(gè)別的包，但是防火墻使用狀態(tài)封包檢測(cè)技術(shù)以后，能夠保留數(shù)據(jù)包，直到有足夠的信息來(lái)作出“是”或“否”的決定。狀態(tài)防火墻在今天也仍在被使用，但也在開始改變著。

里程碑四：統(tǒng)一威脅管理成了最新的流行詞

在21世紀(jì)初，統(tǒng)一威脅管理(簡(jiǎn)稱UTM)裝置出現(xiàn)在了市場(chǎng)上，它是一個(gè)一體化的設(shè)備，集成了多種安全技術(shù)于一身，包括安全套接字層(SSL)虛擬私用網(wǎng)絡(luò)、反病毒技術(shù)、入侵防御系統(tǒng)(IPSes)和防火墻。

里程碑五：下一代防火墻(NGFWs)

防火墻的最新發(fā)展成果就是下一代防火墻，它依然采用了包過(guò)濾技術(shù)，但這種技術(shù)是在應(yīng)用層和用戶流量統(tǒng)計(jì)上執(zhí)行細(xì)化安全策略的基礎(chǔ)上進(jìn)行實(shí)施的。此外，下一代防火墻集成了Internet協(xié)議安全性(簡(jiǎn)稱IPSes)和其他的防護(hù)功能于一身，能夠有效屏蔽惡意的網(wǎng)站流量。

預(yù)測(cè)一：防火墻虛擬化

在未來(lái)的幾年，防火墻將會(huì)朝著虛擬化方向發(fā)展。和傳統(tǒng)防火墻一樣，這種虛擬防火墻能夠檢測(cè)數(shù)據(jù)包，能夠在虛擬機(jī)上采用一定的安全策略規(guī)則來(lái)屏蔽不可靠的數(shù)據(jù)傳輸。但是虛擬防火墻不會(huì)取代專用的防火墻操作，來(lái)達(dá)到或者接近線速速，因?yàn)楫?dāng)組織開始把工作負(fù)載和不同的安全需求結(jié)合的時(shí)候，將會(huì)對(duì)這種虛擬防火墻有更多的要求。

預(yù)測(cè)二：云防火墻

自云計(jì)算和移動(dòng)設(shè)備的出現(xiàn)以來(lái)，分析家們就已經(jīng)預(yù)測(cè)到基于云的防火墻將會(huì)更加集中運(yùn)用于服務(wù)上，Web應(yīng)用防火墻就是一個(gè)很好的例子。

預(yù)測(cè)三：具有更多安全功能

我們已經(jīng)看到了統(tǒng)一威脅管理技術(shù)和下一代防火墻的集成，接下來(lái)，我們要做的就是超越把更多的功能添加在一個(gè)盒子里的這種簡(jiǎn)單技術(shù)，把數(shù)據(jù)和功能更有效地集成起來(lái)，得到更快更好的決策。比如，這將意味著會(huì)有一些安全信息和事件管理(統(tǒng)一稱為SIEM)平臺(tái)，從網(wǎng)關(guān)處得到相關(guān)數(shù)據(jù)，進(jìn)而動(dòng)態(tài)調(diào)整防火墻規(guī)則，以此來(lái)緩和一些特殊的威脅。

預(yù)測(cè)四：更深入的內(nèi)容檢測(cè)

隨著新一代防火墻出現(xiàn)在市場(chǎng)上，內(nèi)容檢測(cè)也得到了很大的改善。通常情況下，每一代檢測(cè)軟件的問(wèn)市，都會(huì)比原來(lái)運(yùn)行得更精簡(jiǎn)、快速，也更加有效。

預(yù)測(cè)五：業(yè)務(wù)管理防火墻

在未來(lái)，一些大型組織會(huì)有更多的決策需要執(zhí)行，而隨著網(wǎng)絡(luò)復(fù)雜性的提高，我們需要從業(yè)務(wù)應(yīng)用的角度上，而不是嚴(yán)格地從防火墻或是安全檢測(cè)方面去分析問(wèn)題。這是整個(gè)軟件行業(yè)的一種趨勢(shì)，就業(yè)務(wù)應(yīng)用這個(gè)例子來(lái)看，對(duì)于電商組織而言，信用卡處理服務(wù)是不可或缺的。因此，如果一條防火墻規(guī)則阻止了工作的運(yùn)行或使其進(jìn)程變慢了，那么該組織將會(huì)受到影響。如何管理不斷發(fā)展的防火墻，這也是一個(gè)新的發(fā)展方向。

原文鏈接: http://www.eweek.com/security/slideshows/firewall-evolution-5-milestones-5-predictions.html