防火墙迈向安全应用网关

日前，WatchGuard公司负责把握防火墙战略方向和发展进程的网络安全部高级副总裁Marck W.Stevens一行访华，为中国用户带来有关防火墙技术发展的最新方向。

集成入侵防御功能

随着黑客攻击、蠕虫病毒、恶意代码的大量涌现，企业网络所面临的风险逐日倍增，传统的防火墙技术带来了巨大挑战。 Marck W.Stevens认为，在过去四年里，防火墙技术进展不大，在抵挡数目繁多、手法诡秘的新型攻击时显得力不从心。

许多用户将“包过滤”或“状态监测”防火墙作为防线，许多攻击利用了这类防火墙的缺陷。98%的网络通信是由 HTTP、FTP、SMTP和DNS构成，这些协议都有可能被黑客用来发动攻击，使防火墙麻痹大意，而放过攻击。如果防火墙的性能不够，由防火墙保护的网 络还容易遭受DoS和DDoS攻击。Marck W.Stevens认为在防线上添加入侵防御措施能够解决这一问题。用户可以采取两个方式来实现：一是在现有防火墙的基础上添加一个入侵防御系统，二是将现有防火墙替换成新型防火墙（又称“安全网关”），新型防火墙集成有入侵防御技术。

Marck W.Stevens赞成将入侵防御系统集成到防火墙中，主要是因为能够进行更好的DOS/DDoS保护，简化管理，降低配置错误，并且快速响应。如果使防 火墙与入侵防御系统相互独立，防火墙位于入侵防御之外，那么DoS攻击就可能在抵达IPS系统之前使防火墙超载。此外，独立的管理控制台加大了管理和配置 的复杂性，并有可能导致安全漏洞。自1997年开始，WatchGuard就在防火墙和VPN设备中集成了入侵防御功能，并且将在新一代防火墙当中为用户 提供全面的入侵防御功能。

深度应用层代理检测

Marck W.Stevens认为，代理技术是防火墙在网络中保护脆弱点的一种有效方式。“包过滤”和“状态包过滤”对数据进行检查的深度都无法与代理技术相媲美。 在防火墙技术发展初期，出于性能考虑，人们较多采用了包过滤和状态监测，而很少采用代理技术，目前已趋于成熟的ASIC和NP技术已经使得代理技术不会对 防火墙性能造成影响，速度问题已经不再是影响人们选择防火墙技术的因素了，相反随着安全威胁的日益复杂和深层化，深层次的应用层代理检测技术对防火墙正变 得越来越重要。

WatchGuard在防火墙当中使用代理技术，也是目前唯一能够在应用层（第七层）实现代理的安全厂商。在新一 代防火墙中，WatchGuard不仅提供在网络层和传输层的状态包过滤检测，而且还提供应用层用代理检测。具体来说，HTTP应用代理程序可以进行针对 性过滤内容，保护依赖互联网的企业应用免受HTML的攻击。SMTP应用代理程序实时监控接收和发送的邮件的内容，防止邮件服务器超载和受到邮件炸弹袭 击，根据邮件类型和名称来辨别邮件是否携带有蠕虫或者木马，并且能够自行阻击攻击行动，或者隐藏或改变内部的IP地址，避免受到攻击的可能。

Marck W.Stevens明确提出，防火墙未来的发展方向是安全应用网关。尽管防火墙并不是企业网络安全防线的终点，但是如果将防火墙与其他措施配合使用，并建 立一个层次化的安全机制，那么防火墙仍然是一个基础的防御工具。

Marck W.Stevens预言未来的防火墙

● 下一代防火墙将继续成为网络安全的基石

● 独立的入侵防御系统变得不具有竞争力，入侵防御将成为防火墙的一个功能

● 防火墙除了实现网络层安全外，还要实现应用层安全性

● 拥有更强的CPU处理能力和更大的存储空间，进行越来越繁重的处理

● ASIC和网络处理器将成为防火墙缩短处理延迟的关键

未经允许不得转载：DOIT » 防火墙迈向安全应用网关