其实这就是一个安全投资成本的问题。把它和企业网络安全相联系,就不得不谈到防火墙产品的投资和选择。经过2000年的千年虫和2001年的病毒扫荡,绝大多数企业都对网络安全问题非常重视,防火墙是企业安全屏障的首选配置。
当前市场上,防火墙售价极为悬殊,从几万元到数十万元,甚至到百万元。因为各企业用户要达到的安全程度不尽相同,为了符合各种不同企业的安全要求,厂商所推出的产品也有所区分,从比较简单的仅仅能完成包过滤的路由器,到有些公司推出的类似模块化的功能产品,不一而足。防火墙的最简单定义是:只要是能够限制封包通行的网络设备,或安装在各种操作系统上的软件都可以称作防火墙。我们也看到如同许多IT产品的功能集成化趋势,防火墙产品也在经历了一个“增肥”过程,从“苗条”到“丰韵”再到“壮硕”,甚至有了逐渐“臃肿”的趋势。那么它们的价格自然也会随着功能的极大丰富,成正比例增长。
防火墙正在“发福”
防火墙有发福的趋势是不争的事实。不过对于用户来说,只要能胖的丰韵,胖的健壮,瘦的苗条、瘦的精神,倒用不着在乎“环肥”还是“燕瘦”,各有所好嘛。
那么一个基本功能具备的防火墙是什么样呢?
作为网络安全政策的有机组成部分,防火墙通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,具有以下基本功能的产品可以说是一个“苗条”而“健康”的防火墙:
过滤进、出网络的数据;管理进、出网络的访问行为;
封堵某些禁止的业务;
记录通过防火墙的信息内容和活动;
对网络攻击进行检测和报警。
具备这些功能的防火墙产品非常多。
我们可以沿着防火墙“审美观”的交替历史,看看它的身材是如何变化的。
最苗条的防火应当是基于路由器的防火墙。由于多数路由器中本身就包含有分组过滤功能,故网络访问控制可通过路由控制来实现。这样在防火墙期产品发展的最初时期,具有分组过滤功能的路由器就可以称为防火墙。
这种类型的产品利用路由器本身对分组的解析,以访问控制表方式实现对分组的过滤。它们过滤判决的依据可以是:地址、端口号、IP旗标,也可以是其他网络特征。然而由于只有分组过滤功能,且防火墙与路由器是一体的,只有那些对安全要求低的网络采用路由器附带防火墙功能的方法,而对安全性要求稍高的网络就会单独利用一台路由器作为防火墙。
由于身材过于“苗条”,不免不够健壮——本身容易具有安全漏洞,外部网络要探寻内部网络十分容易。例如:在使用FTP协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20端口仍可由外部探寻。分组过滤规则的设置和配置也存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性、作用端口的有效性和规则集的正确性,一般的网络管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。此外攻击者可“假冒”地址,黑客可以在网络上伪造假的路由信息欺骗防火墙。而且由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置也会大大降低路由器的性能。因此基于路由器的防火墙只是网络安全的一种应急措施,由此来对付黑客的攻击比较危险。
于是防火墙继续“健身”,将过滤功能从路由器中独立出来,并加上审计和告警功能,这样基于用户的防火墙能针对用户需求,提供模块化的软件包;软件也可通过网络发送,用户可自己动手构造防火墙;增肥之后,安全性提高价格反而降低了。不过这一类的纯软件产品,无论在实现还是在维护上都对系统管理员提出了相当复杂的要求。
首先是配置和维护过程比较复杂、费时;对用户的技术要求也相当高;全软件实现、安全性和处理速度均有局限;实践表明,使用中出现差错的情况也比较多。
基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品,目前在市场上广泛使用的是这一类产品。
它们属于批量上市的专用防火墙产品,包括分组过滤或借用了路由器的分组过滤功能; 装有专用的代理系统,监控所有协议的数据和指令;还能够保护用户编程空间和用户可配置内核参数的设置;安全性和速度大为提高。这类防火墙有以纯软件实现的,也有以硬件方式实现的。但随着安全需求的变化和使用时间的推延,也存在一定问题。
隐患之一就是作为基础的操作系统,其内核往往不为防火墙管理者所知,由于原码的保密,其安全性无从保证。此外,大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责。上述问题在基于Windows NT开发的防火墙产品中表现得十分明显。
目前防火墙产品的主要发展趋势是自己具有安全操作系统的防火墙。防火墙本身就是一个操作系统,在安全性上有了一定的提高。获得安全操作系统的办法有两种:一种是通过许可证方式获得操作系统的源码;另一种是通过固化操作系统内核来提高可靠性。这样防火墙厂商具有操作系统的源代码,并可实现安全内核;对安全内核实现加固处理:即去掉不必要的系统特性,加上内核特性,强化安全保护;对每个服务器、子系统都能够作安全处理,一旦黑客攻破某个服务器,它将会被隔离在此服务器内,不会对网络的其他部分构成威胁;在功能上包括了分组过滤、应用网关、电路级网关,且具有加密与鉴别功能,甚至有的防火墙还有IP转换(IP Address Translation) 、双重DNS、虚拟企业网络(VPN) 、扫毒功能等等,已经由单纯的防火墙产品发展成为安全防护体系了。
不可否认的是,防火墙“发福”的比例并不一定与安全性能成正比。此外,防火墙产品功能越丰富,对整体系统性能的影响越大。性能指标体现了防火墙的可用性能,也体现了企业用户使用防火墙产品的代价(延时),用户无法接受过高的代价。如果防火墙对网络造成较大的延时,还会给用户造成较大的损失。例如,防火墙系统中集成的VPN解决方案必须是真正的线速运行,否则将成为网络通信的瓶颈。另外目前常见防火墙附加防病毒和入侵检测功能,这样做会影响系统运行的效率和防火墙本身的安全性,但如果在用户可以接受范围内还是可以的,因为相对来说成本较低,但国外厂商一般不采用这样的做法,如CHECK POINT。虽然硬件防火墙在一定程度上会减小对性能的影响,但其成倍增长的价格往往令中小企业用户望而兴叹。
修正“审美”势在必行
对于防火墙产品厂商来说:瘦是时髦,胖是趋势。而对用户来说:“跟风”还是修正自己的审美观呢?
现实是不少企业信息中心的主管都存在这样的困惑:花费不小的防火墙产品,是不是真的起到了安全作用?如果防火墙只起到“心理安慰”的作用,这笔投资是否值得呢?的确,防火墙产品最难评估的方面也是其安全性能,即防火墙是否能够有效地阻挡外部入侵,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣,而且在实际应用中检测安全产品的性能又是极为危险的。另外,是否企业真的需要那么多功能的防火墙产品呢?
如何评估防火墙的确是一个十分复杂的问题,用户在这方面有不同的需求,很难给出一个统一的标准。一般来说防火墙的安全和性能(速度等)是最重要的指标,用户接口(管理和配置界面)和审计追踪次之,然后才是功能上的扩展性。用户时常会面对安全和性能之间的矛盾。代理型防火墙通常更具安全性,但是性能要差于包过滤型防火墙。如果用作Internet防火墙,即使以T1(1.544Mbps)或E1(2.048Mbps)接入,防火墙也不会成为瓶颈。但是企业网之间如果以100M甚至GbpNet相连时,就会对防火墙的性能提出很高的要求。
因此在防火墙的选型之前,必须对企业的信息系统进行价值评估和分析功能需求。防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为100万元,则该部门所配备防火墙的总成本也不应该超过100万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
至于对功能多样化的追求是否合适,是个仁者见仁,智者见智的问题。笔者的建议是天然去雕饰,清水出芙蓉,还防火墙一个健康身材。
文章转载地址:http://www.365master.com/kt_article_show.php?article_id=1036&categ_code=10151002
