网御星云：下一代防火墙“九宫八阵图”阵法

三、防火墙现状与发展趋势

随着互联网新型网络应用、攻击、病毒的出现，以前的老套安全防护技术，迟迟未能得到革命性的进展。就防火墙来说，虽然也经过了几代的发展，从软件到硬件、从百兆到千兆以及万兆，再从单核到多核，但其根本的被动防护原理却基本没有改变，这也使得其面对变幻多端的“云”威胁时，总是捉襟见肘，难以应对。人们不禁要问，新时代的安全出路究竟在哪里？

当前防火墙技术也有一些新的发展趋势。这主要可以从分级过滤技术、防火墙体系结构两方面来体现。

3.1、防火墙分级过滤技术发展趋势

所谓多级过滤技术，是指防火墙采用多级过滤措施，并辅以鉴别手段。在分组过滤(网络层)一级，过滤掉所有的源路由分组和假冒的IP源地址;在传输层一级，遵循过滤规则，过滤掉所有禁止出和入的协议和有害数据包如nuke包、圣诞树包等;在应用网关(应用层)一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术，它可以弥补以上各种单独过滤技术的不足。

这种过滤技术在分层上非常清楚，每种过滤技术对应于不同的网络层，从这个概念出发，又有很多内容可以扩展，为将来的防火墙技术发展打下基础。

3.2、防火墙的体系架构发展趋势

随着网络应用的增加以及云计算的发展，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外，在以后几年里，多媒体应用将会越来越普遍，它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要，一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来，基于网络处理器的防火墙也是基于软件的解决方案，它需要在很大程度上依赖于软件的性能，但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎，从而减轻了CPU的负担，该类防火墙的性能要比传统防火墙的性能好许多。但这也存在很多问题，ASIC主要处理网络层数据，而当今应用层已经占据半壁江山，虽然起到加速作用，但效果甚微，另一方面，由于ASIC对新建并发、最大并发连接并不起多大作用，防火墙的并发瓶颈并未得到真正解决，人们更多的倾向于多核MIPS技术，所以，多核多线程并行处理技术既能解决高并发的问题，也能处理应用层协议，这一方向得到了多数安全厂商的认可。

四、重新定义的下一代防火墙

传统防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障。是一种获取安全性方法的形象说法，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。

下一代防火墙是一个能辨别新的未知的应用类型，通过实时感知和控制网络流量中动态更新的威胁信息，进行主动应变的智能化综合网关设备；同时能与其他设备联动组成的综合防御阵营体系。具备一种能动态化和智能化收集汇总技术，充分利用“云”进行动态实时的威胁信息集中采样与共享，它可以持续收集威胁的更新信息，这种更新的信息包括互联网上已知威胁的详细信息，连续攻击者、僵尸网络收获者、恶意爆发和黑网等。通过将这些信息实时传递到防火墙中，可以在僵尸网络等恶意攻击者有机会损害重要资产之前及时过滤掉这些攻击者，从而最终实现主动应变的安全堡垒。

未来的防火墙产品由于在功能性上的扩展，以及应用日益丰富、流量日益复杂所提出的更多性能要求，会呈现出更强的处理性能要求，许多产品都会在防火墙处打开数据包进行检测。且如允许数据包通过，设备会将数据包重组，并发送至IPS处，由其在第7层而非第3层进行检测。下一代防火墙的出现使得现有的此类技术如：UTM、防火墙、与IPS间的界线更为模糊，同时，利用下一代防火墙，还可将这些功能都集成到一个单一的CPU中，使用一个时钟周期及一个路径或流量，因此具有低延迟性。同时，因为其取代了多个设备，还具有低成本高效的优点。下一代防火墙不仅具有业务应用感控功能，还具有用户身份识别特性，可提供更多的威胁情报。随着防火墙更新周期的自然到来、带宽需求的增加和攻击的新特性，促使更新防火墙越来越快的出现，大型集团、政府、电信、金融、军队等各行各业将用下一代防火墙替换已有的防火墙。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友