特黄特色三级在线观看免费,看黄色片子免费,色综合久,欧美在线视频看看,高潮胡言乱语对白刺激国产,伊人网成人,中文字幕亚洲一碰就硬老熟妇

學習啦 > 學習電腦 > 電腦安全 > 防火墻知識 > 當代防火墻技術(shù)到底有什么問題

當代防火墻技術(shù)到底有什么問題

時間: 若木635 分享

當代防火墻技術(shù)到底有什么問題

  防火墻已經(jīng)是目前最成熟的網(wǎng)絡(luò)安全技術(shù),也是市場上最常見的網(wǎng)絡(luò)安全產(chǎn)品。在網(wǎng)上Google一下“防火墻”,找到2540000個匹配項;Google一下“firewall”,找到44200000個匹配項??梢韵胂?,防火墻資料之多如汪洋大海。面對這么多的信息,想對防火墻說三道四,還真不容易。目前,網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒、垃圾郵件、網(wǎng)絡(luò)陷阱,網(wǎng)頁被篡改的新聞太多,以致于公眾對“狼來了”已經(jīng)麻木、沒有反應(yīng)了。眾多的防火墻廠商,琳瑯滿目的防火墻產(chǎn)品,五花八門的防火墻新技術(shù),充斥著網(wǎng)絡(luò)安全界?,F(xiàn)在網(wǎng)絡(luò)安全產(chǎn)業(yè),不是用戶有什么問題,而是廠商有問題。防火墻技術(shù)已經(jīng)成熟,為廣大用戶所認可,但是防火墻存在的問題被暴露出來,而且還很嚴重。用戶現(xiàn)在是在看防火墻廠商,看他們怎么辦。一位信息中心的老總在一次安全大會上叫板說,我已經(jīng)買了不少防火墻,別跟我來虛的,跟我說點有新意的東西?,F(xiàn)在不缺經(jīng)費,就缺管用的東西。

  現(xiàn)在的防火墻技術(shù)到底有什么問題?用戶到底要什么管用的東西?

  1、向下看,別老向上看

  業(yè)界流行的觀點是,高性能防火墻是防火墻未來發(fā)展的趨勢。高性能防火墻簡直就是防火墻硬件結(jié)構(gòu)不用X86。而對于高端防火墻的技術(shù)實現(xiàn),不外乎基于NP技術(shù)或ASIC芯片技術(shù)。NP在網(wǎng)絡(luò)底層轉(zhuǎn)發(fā)和處理數(shù)據(jù),可二次開發(fā),但性能比ASIC差一點。ASIC技術(shù)難度大,很難開發(fā),但性能好一點。NP和ASIC還沒有爭論完,有些聰明的廠商已經(jīng)找到訣竅,推出NP+ASIC的綜合方案,總算找到“最佳”的搭配方案。至于工控機架構(gòu),明眼人一眼就看出了,搞NP和ASIC的人聯(lián)手,就說它性能不好,說多了就讓它淘汰。

  真實的情況到底是什么?用戶到底是要安全還是要速度?安全和速度可是一對矛盾。在發(fā)生安全事故的時候,慢比快安全。如發(fā)生相撞事件,行人比騎自行車安全,騎自行車比開汽車安全,開汽車比坐飛機要強。不發(fā)生安全事故,當然是效率越高越好,能坐火箭當然不坐飛機。從這個意義上,如果是選擇路由器,當然是速度和效率;如果是選擇安全設(shè)備,要是你是安全負責人的話,選慢的,別選快的。安全總是需要時間來處理,速度越快,效率越高,安全事故發(fā)生的時候就越?jīng)]救。哥侖比亞航天飛機下來的時候出了故障,連人影都找不著;飛機失事,人影還有,就是殘缺不全;兩個人走路相撞,生氣歸生氣,但基本不會有事。

  這個道理用戶懂,可路由器和交換機已經(jīng)買了千兆的,怎么辦?怎么辦,買千兆防火墻!挑不挑NP或ASIC或X86,是你的事。其實,把安全問題放在千兆出口來解決,本身就不是一種理想的選擇。能在計算機上解決的,不要交給網(wǎng)絡(luò);能在10M口上解決的,不要交給100M;能在100M口上解決的不要交給1000M;如果你還打算把安全問題交給10000M口上去解決,那基本上就是不解決。

  2、向內(nèi)看,別老向外看

  來自網(wǎng)絡(luò)外部的安全問題當然存在。黑客也罷,敵對勢力也罷,外部威脅還在。但是現(xiàn)在90%的安全問題在內(nèi)部,重點在內(nèi)部,不在外部。病毒發(fā)作,往往是內(nèi)部傳染的。掃描,往往是內(nèi)部的主機干的。要解決內(nèi)部的問題,現(xiàn)在的防火墻架構(gòu)形同虛設(shè)。一個只防外不管內(nèi)的防火墻,怎么管內(nèi)部的安全問題。再說,防火墻也管不著不經(jīng)過防火墻的流量。

  現(xiàn)有的防火墻架構(gòu)是一種粗顆粒度的訪問控制,把整個內(nèi)部網(wǎng)絡(luò)當作一個邏輯單元來處理。這種粗顆粒度的訪問控制機制不能滿足高安全性的要求,不能解決內(nèi)網(wǎng)的安全問題,因此我們需要細顆粒度的訪問控制機制。細顆粒度的訪問控制機制未來會很吃香。提高精度,總是好事。

  要說向內(nèi)看,思科的網(wǎng)絡(luò)訪問控制(NAC)和微軟的網(wǎng)絡(luò)訪問保護(NAP),都在向內(nèi)看。最近注意到華為也開始向內(nèi)看。無論是微軟還是思科,盡管有各自的算盤,但在向內(nèi)看這個問題上,倒是達成一致共識。分布式防火墻,全網(wǎng)安全,網(wǎng)格防火墻(Grid Firewall),這三樣也是典型的向內(nèi)看的安全架構(gòu)。

  無論是思科還是其它的公司,都從去年的SARS事件中得到啟發(fā)。如果網(wǎng)絡(luò)的某個主機不安全,在沒有有效辦法去解決的前提下,最好的辦法就是隔離。思科說,我從交換機上將其隔離。分布式防火墻說,我在每一個分布式防火墻上把這個IP和MAC給封了??傊?,給隔離了。

  向內(nèi)看肯定是一個趨勢。細顆粒度的訪問控制到底細到什么程度,目前還沒有明確的說法。如果能對每一個用戶,每一個IP,每一個MAC地址,都進行訪問控制,可以肯定這是目前最細顆粒度的訪問控制。這樣的網(wǎng)絡(luò),是一個強制訪問控制網(wǎng)絡(luò)。聽聽,這個名詞,強制訪問控制網(wǎng)絡(luò)(MACNET),一聽就知道是安全的。如果你的網(wǎng)絡(luò),每一個用戶都有防火墻,每一個IP都有防火墻,每一個MAC地址都有防火墻,你的內(nèi)網(wǎng)一定相當安全。

  3、來實的,別老來虛的

  防火墻給人的感覺就是沒技術(shù)。要不然,怎么一下就好幾百個防火墻廠商,而且每家的功能都差不多。如今非要說防火墻還有什么技術(shù)的話,對其進行DDoS攻擊,看看就知道了。Linux的防火墻家家都會,但Linux上的抗DDoS攻擊軟件的效果不是很好。解決DDoS攻擊是防火墻必須解決的問題。俗話說,養(yǎng)兵千日,用兵一時。敵人要打仗,你有什么辦法,對抗是唯一的辦法。在治理和封堵不能解決問題的情況下,對抗就是最后的辦法。

  前不久看到一則消息,一家國內(nèi)的廠商的抗DDoS攻擊的防火墻,被國內(nèi)一名技術(shù)人員研制出一種專門針對該廠商的DDoS攻擊軟件。該廠商很生氣,對軟件的作者進行了譴責。我倒覺得這不是什么壞事,該廠商也很爭氣,馬上給出一個改進版本。這就對了,證明了自己的實力。這才叫打硬仗。那位程序人員也是了得,針對一個公司的產(chǎn)品給出相應(yīng)的攻擊工具,先不管做法對不對,對安全產(chǎn)業(yè)肯定會有幫助。

  別說抗DDoS該怎么做,先給出抗DDoS的防火墻再說?,F(xiàn)在網(wǎng)上DDoS的攻擊工具多的是,你不用,別人可沒說不用,還是測一測比較放心。聽說一些安全公司現(xiàn)在都有專門自制的DDoS測試工具,不妨向他們要一個,這也反映一個公司的技術(shù)實力。以子之矛攻子之盾,是最好的方法。用別人的矛攻子之盾,也是常見的方法。

  邊界防火墻的發(fā)展趨勢,現(xiàn)在看來,可能就是一個支持IPS功能和抗DDoS攻擊的包過濾防火墻。就這點功能就夠了,別的事情,邊界防火墻管不好也管不了。

  4、防火墻也搞“體驗式營銷”

  3月25日,金山宣布拋出300萬套毒霸的免費下載;3月29日,瑞星發(fā)布了下載的“瑞星殺毒軟件2005網(wǎng)絡(luò)版”;江民科技網(wǎng)上下載業(yè)務(wù)也全面展開,宣布免費殺毒。于是有人詢問,什么時候防火墻也能搞搞“免費試用”。

  網(wǎng)絡(luò)游戲在中國近兩年得到了巨大的成功。從網(wǎng)絡(luò)游戲中,殺毒廠商悟出了一個全新的軟件發(fā)展商業(yè)模式:那就是利用網(wǎng)絡(luò)讓用戶下載自己的軟件,再通過網(wǎng)絡(luò)游戲運營之道改變軟件的生產(chǎn)、營銷和消費模式。IDC公布的一份研究報告顯然支持了殺毒廠商的意見,由于消費者和投資者需求的變化,歷史悠久的一次性銷售模式被售后不斷提供升級服務(wù)支持所取代。IDC在這份研究報告中得出結(jié)論:至2010年前,大部分軟件供應(yīng)商的主要財務(wù)收入將來源于更新許可證而不是永久性許可證。

  盡管幾乎所有的國內(nèi)廠商都用的是Linux的免費防火墻,但還真沒有一個向用戶免費提供防火墻的廠商。如果一旦有人免費提供防火墻,還真不知道防火墻市場會變成什么樣子。不過有一點可以肯定,就向IDC的報告所說的那樣,用戶還是需要不斷提供升級和安全服務(wù),這些服務(wù)還是要收費,可能收的一點也不少。

  不過,殺毒廠商集體跳向免費服務(wù)市場,還是讓一些防火墻廠商開始動心。已經(jīng)有一些廠商的老總開始向業(yè)界咨詢這類問題。這往往是一個苗頭。如果有一天,防火墻廠商也搞免費試用,提供服務(wù)來收取費用,對目前市場的影響有多大,只有天知道。

  5、規(guī)則配置向微軟學習

  要問用戶對防火墻最害怕什么?用戶一定說最害怕給防火墻配規(guī)則。為什么?因為規(guī)則配錯了,防火墻的功能就不正確,安全出了問題,一定是用戶負責。所以用戶說,什么都愿意干,就是不愿意配規(guī)則。而規(guī)則恰恰是防火墻的靈魂,也是防火墻最大的難點。

  為什么說配規(guī)則是防火墻的最大難點?因為單獨配一條規(guī)則很容易,配多條規(guī)則要保證其正確性卻很難,因為規(guī)則與順序有關(guān)。ABC,ACB,BCA,BAC,CAB,CBA的結(jié)果,可能相同,也可能不同,在規(guī)則很多的情況下,要檢查和驗證也很難。當然,如果你只配一條規(guī)則,這個問題就不存在。

  記得一位行業(yè)的用戶朋友詢問,有沒有賣安全規(guī)則的?如果有賣安全規(guī)則的,他就愿意去買規(guī)則,這樣他就不再擔心規(guī)則配置錯誤。到現(xiàn)在為止,確實還沒有賣安全規(guī)則的。即使一些公司提供安全服務(wù),幫助用戶配置一些規(guī)則,這同賣規(guī)則還是完全不同的兩碼事。

  如果有一天,防火墻廠商把安全規(guī)則與廠商的防火墻分離,安全規(guī)則可能真的成為一個獨立的市場。也許那個時候,上面的朋友才能買到安全規(guī)則。這一點倒是很像醫(yī)和藥分離的制度,即看病和賣藥是完全分開的。醫(yī)生不準買藥。藥店不準開處方。如果是處方藥,必須要得到醫(yī)生的處方,藥店才能賣。

  買不到規(guī)則,那位朋友還不死心,繼續(xù)詢問有沒有驗證防火墻規(guī)則配置是否正確的驗證工具。朋友很失望,嘮叨說,怎么不做一個這樣的工具?用戶都會花錢買這樣的工具。

  在防火墻規(guī)則配置的問題上,防火墻廠商應(yīng)該向微軟公司學習。微軟公司的一大優(yōu)點,就是配置和使用簡單,而且結(jié)果所見即所得。什么時候防火墻廠商能夠像微軟那樣,讓防火墻配置和使用簡單,那一定是防火墻的發(fā)展趨勢。

  6、防火墻價格向彩電學習

  防火墻市場的競爭已經(jīng)白熱化,沒有理由不打防火墻的價格戰(zhàn)。原來老以為打價格戰(zhàn)就一定是低端防火墻?,F(xiàn)在看來,高端的防火墻也開始價格戰(zhàn)。其實價格戰(zhàn)沒有什么不好,把水份擠干凈,總是讓用戶受益。說白了,價格戰(zhàn)一開始,就不是成本定價,而是市場定價。Cisco推出1萬元以下的防火墻。國產(chǎn)廠商要打贏思科,一定得推出低價的高端防火墻,才能站穩(wěn)腳。只有當?shù)蛢r防火墻市場流行以后,安全市場才能高度國產(chǎn)化。

  從目前國外的市場來看,有PC上的免費個人防火墻,有收費的個人防火墻,有開放源碼的免費防火墻(Linux),也有收服務(wù)費的開源防火墻。我們注意到一些國外的防火墻廠商,在美國的價格要比其在國內(nèi)的價格低的多得多。這種現(xiàn)象顯然不正常。

  最近的一些行業(yè)投標中,筆者驚喜地發(fā)現(xiàn)防火墻價格正在向彩電學習,這是一個好兆頭。說明防火墻市場成熟了??傆腥藫?,價格低了沒有好東西,現(xiàn)在的彩電價格低,東西難道沒有原來好?市場這只看不見的手,管用的很。價廉物美,市場才成熟。

132213