1、防火墙的变革之路圆壁兰丝防火墙的变革之路东营职业学院张兴科防火墙经历了巨大的变革.网络由窄带向宽带高速发展的过程促成了防火墙的更新换代.今天,“状态监测 “的技术权威性已经确定,硬件防火墙取代软件防火墙成为大势所趋.从包过滤到应用代理.防火墙技术本身经历了 3 次巨变.早期的防火墙只是采用简单的“包过滤“ 技术即对进出网络的数据包进行检查,虽然效率高,但漏洞大,缺乏安全性,很快被淘汰出局.随后的应用代理技术让通信经应用代理层转发,可彻底隔断两端的直接通信,可想而知,安全性增加很多,却以牺牲效率为代价.随后,一家以色列的技术公司 Check.Point 创建的状态监测技术,摈弃了前两种技术的不足
2、,它对每一个数据包的检查不仅根据策略表,还考虑会话状态,提供了对传输层的完全控制能力.状态监测技术一经推出,就广受大众青睐.目前,它已成为防火墙事实上的技术标准,全球几乎所有的主流防火墙公司都采用此技术.而CheckPoint 公司由于将业务定位在开放的体系结构上,并在全球倡导开放的 OPSEC联盟,确立了其在防火墙领域的里程碑式的地位.归根结底,防火墙是一种软件技术.但防火墙的形态,同样经历了三代演变!从软件到 Pc 硬件.早期的防火墙多以软件形态出现.以软件着称的 CheckPoint 公司典型的第一代软件防火墙架构是运行在标准的基于CPU 的 Pc 机或小型机以及通用操作系统上.在没有其
3、他安全技术或设备时,软件防火墙非常流行.但很快,软件防火墙的弱点开始暴露出来:通用操作系统并未为安全专门设计,本身带有很多漏洞,尤其是 WindOW8 操作系统在全世界流行 ,却也将大量的漏洞或 Bug 带到了每一个客户终端上,这些漏洞很快成为攻击目标,就像建立在浮沙中的大厦,安全从何而来?从性能上说,各种应用共享公共的 CPU,RAM,PCI 总线等资源,而防火墙的拆包解包需要大量的数学运算,CPU 不堪重负,性能大受影响.CheckPoint 很快发现了问题,开始在世界各地寻求硬件合作伙伴.其他厂商也一样.这样就出现了目前最流行的第二代防火墙架构一软件+PC 硬件.国外的第二代防火墙以 C
4、iSCO 和Nol【ia 为代表,而国内以东软,天融信,联想,方正,安氏中国等为代表.这类防火墙的特点是,仍保留基于 CPU 的 Pc 结构,但不再使用通用操作系统.而使用各类厂商自主研发的专用操作系统;同时,不再以 Pc 的面貌出现,而是一些专用的硬盒子.为安全而定制的操作系统从根本上解决了软件防火墙存在的严重安全隐患.由于是专用设备,在防火墙上并不跑其他的应用,因此,整体处理性能上也大幅提高.另外,它最大的优点是灵活性高,通过软件可完成各类工作,且升级换代非常容易,只需通过网络下载将内置的软件升级.同样,在其中整合进多种安全功能也轻而易举,某些厂商在防火墙中整合了VPN,杀病毒,IDS 或
5、内容过滤等等 ,就是灵活性带来的好处.无论是厂商主推的百兆防火墙还是在中国市场热火朝天的千兆防火墙,无不是这种架构.但是,随着宽带网络的发展,随着商业运算复杂程度的增加,Pc 结构的防火墙在大数据流量面前逐渐显得力不从心.典型的宽带应用会带来数万甚至数十万的并行会话,更多的会话意味着更多的中断,这会带来处理能力的急剧下降,甚至设备死机,因此,会话数是最能体现防火墙处理能力的参数之一:另一个参数是加解密能力,二代防火墙需借助附加的加密卡才能达到较高的处理速度.因此,在电信级应用以及每天有海量敦据传输的大型企业网内,这类髓火墙蠢纛陷入瞰.从 PC 硬件刭雠秘俘.人们开始考虑使用 ASlc 技术.这
6、种演变与其他网络设备非常类似,如路由器的发展经历了由 PC 路由软件蓟专用路由器到基于脚 C 的路由交换机,交换路由器的过程.AslC 的全称为 ApplicationcIntegratedCircuit,意思为专用的系统集成电路,是一种带有逻辑处理的加速处理器.简单地说,ASIC 就是甩硬件的逻辑电路实现软件的功能.使用 As 曩 C 可把一些原先由 CPU 完成的通用工作用专门的硬件实现,从而在性能上获得突破性的提高.因此,在单一领域,人们希望 ASIC 能带来较高的运算效率.第三代防火墙是以 NetSereen 公司为代表的基于阎 C 架构的防火墙.四年前,NetScreen 在关键业务
7、处理中抛弃了(=l而替之以 ASIC,这使原先需要上万条指令才能完成的处理可在瞬问由数个循环完成:多总线结构保证在 jl 口上进行数据传输时内部仍然可高效处理数据,不再受传统的“ 中断 “限制 .第三代防火墙也采用专用操作系统和 CPU.某些人对此诟病: 这本质上仍然没有走出“软件 “防火墙的禀臼 .但事实上,它并不依赖操作系统和 I=I 的性能,因为它们的作用只有两个:驱动橱 C 硬件和管理接口,所以它们只负责总体协调却并不参与任何数据处理工作.在 As 曩 C高效处理数据时,(=I,U 甚至很空闲.所以,第三代防火墙的 cI 甚至没有前两代那么高档,升级速度也不需太快.第三代防火墙目前己在电信部门获得了广泛认可,但它仍不完善,艘 C 的特点决定了它的灵活性相对较差,如果需要进行升级,只能单换一台设备;如果要添加新功能,也只能另买设备.但第三代防火墙厂商目前正在考虑解决这些问题,即如何在固件的体系上兼顾灵活性.它们采取的方法有提供系统升级方案,让设备具备预留容量和能力以支持未来新应用,或与其他策 1.|性厂商一起提供兼容搭售方案等.我们相信,改进后的第三代必将成为未来的主漉防火墙.一 1H 百硼
