從概念上講,所謂 “ 胖 ” 防火墻是指功能大而全的防火墻,它力圖將安全功能盡可能多地包含在內,從而成為用戶網絡的一個安全平臺;而所謂 “ 瘦 ” 防火墻是指功能少而精的防火墻,它只作訪問控制的專職工作,對于綜合安全解決方案,則采用多家安全廠商聯盟的方式來實現。
“ 胖 ” 的技術路線:
“ 胖 ” 防火墻在保證基本功能的前提下,不斷擴展增值功能 ——NAT 、 VPN 、 QoS 以及入侵檢測、防病毒等。 “ 胖 ” 防火墻將安全 Solution 趨向于一種注重功能大而全的單一產品體系,力圖將防火墻系統開發成為一個安全域的整體解決方案,它的優點在于可以滿足用戶絕大部分的網絡安全需求。
防火墻最開始也是一個單獨的設備與概念,它和 VPN 、 IDS 、防病毒等都是同時并立的,但隨著客戶需求的不斷變化,在大而全的思想引導下,防火墻慢慢集成了 VPN ,集成了 IDS ,甚至集成了防病毒網關。理論上,防火墻 +IDS+ 防病毒 +VPN 部署已經可以提供較全面的保護,但由于大多數中小企業的用戶并非安全專家,更不可能 7×24 小時監視安全報告并作出響應,因此組合多種產品功能形成智能化的防御體系、發現并及時中止入侵的發生也就成為安全技術的一種發展方向。
另外,對于一般的客戶來說,分別購買多個 IDS 、防火墻、 VPN 及防病毒網關產品是一個不小的財政負擔,而高度集成的 IDP 系統令用戶大大減少了同類支出并大大增加了效能,因此,市場上出現了 “ 二合一 ” 、 “ 三合一 ” 甚至是 “ 四合一 ” 的產品。它欲解決的問題在于降低采購和管理成本。
但是,這種 “ 胖 ” 防火墻目前更多地存在于理論上,實際進行產品化并已成功應用的并不多。 “ 胖 ” 防火墻追求的是一站式服務,目前它只適應中小型企業,尤其是低端用戶。他們出于經濟上的考慮以及管理上的成本,更主要的是出于安全的實際需求,希望一個設備可以為這種小型網絡實現整體安全防護,所以對這種大而全的 “ 胖 ” 東西非常感興趣。
“ 胖 ” 防火墻的缺點也是很明顯的,最突出的就是性能問題,只能著眼于小規模的網絡,因為它強制將邊界安全集中在單一控制點,本有性能瓶頸之憂;在性能瓶頸點增加 IDS 、 AV 等模塊,又會加劇瓶頸效應;同時,附加模塊將增加安全策略規則數目,也將加劇防火墻性能指標惡化(隨規則增加,防火墻性能指標將成倍數下降);另外,附加模塊不專業,功能不全面。很多廠家在初步定義產品時,都想做成 “ 胖 ” 防火墻,既有包過濾、又有代理,同時包含了入侵檢測和防病毒,但是做著做著,就慢慢瘦下來了。況且單一產品功能多,也導致可靠性和安全性的降低;
集成化不應僅僅是產品的簡單疊加, “ 胖 ” 防火墻從概念上講是可以的,但從技術實現上講,有許多實際問題,可能造成的結果就是多而不精。
“ 瘦 ” 的價值定位:
一般來說,大型用戶安全需求廣泛,專業性要求強,安全投入較大,自身安全管理能力也較高,因此,這種客戶均傾向于使用獨立的安全設備,并渴望發揮每種產品的最大效果。而安全廠商也竭力挖掘每種安全產品的最大功能, “ 瘦 ” 防火墻也就經歷了從包過濾、應用代理、狀態檢測到深度檢測、智能檢測以及從雙機熱備到負載均衡、 HA 集群的發展階段。
針對這類用戶,為了要滿足多種安全需求,安全廠商在設計安全解決方案時,通常會考慮以安全管理為核心,以多種安全產品的聯動為基礎,如防火墻與 IDS 和防病毒全面互動形成動態防御體系。以安全管理為核心使得安全網關不需要專人時時注視,不需要人工判斷入侵事件,不需要預先設置大量的阻斷規則,只需要在管理系統中根據安全需求設定互動規則。防病毒系統會在發現病毒后立即通知 IDS 添加到規則庫中,而 IDS 系統會在發現入侵行為后立即使防火墻產生阻斷入侵的規則,從而自動為用戶帶來安全的信息環境。
許多有實力的廠商在不斷推出 “ 瘦 ” 防火墻等專業安全產品的同時,開發并推出整體安全管理解決方案 —— 信息安全管理平臺,如 Check Point 公司的 OPSEC Manager 、聯想集團的 LeadSec Manager 等。
安全管理平臺能夠為用戶的網絡應用建立方便完善的集中管理機制、統一協調機制、綜合分析機制、關聯響應機制,能在諸多方面為安全管理工作帶來顯著的效益。例如通過管理平臺,能夠配置 IDS 與防火墻、防病毒系統之間聯動策略;當 IDS 檢測到蠕蟲病毒事件時,網絡中的防火墻和防毒系統馬上即可收到事件通報;于是防火墻采取行動,封堵病毒傳播通道,防毒系統進入查殺過程。蠕蟲病毒就被以最快的速度遏止,并被消滅在一個有限的網絡范圍內。
應用安全管理平臺,可以使 “ 瘦 ” 防火墻等專業安全產品協同工作、關聯響應,從而全面提高企業整體安全風險防范能力,這也是 “ 瘦 ” 防火墻得到越來越多客戶青睞的重要原因。
當然,接口、聯動、管理需要靈活的開放性和可擴展性。如果配合不當,出現紅鞋與綠褲的組合,那呈現給用戶的恐怕就不僅是俗氣了。
“ 胖、瘦 ” 相輔相成
從本質上講, “ 胖、瘦 ” 防火墻沒有好壞之分,只有需求上的差別。低端的防火墻是一個集成的產品,它可以具有簡單的安全防護功能,還可以具有一定的 IDS 功能,但一般不會集成防病毒功能。而中高端的防火墻更加專業化,安全和訪問控制并重,主要對經過防火墻的數據包進行審核,安全會更加深化,對協議的研究更加深入,同時會支持多種通用的路由協議,對網絡拓撲更加適應, VPN 會集成到防火墻內,作為建立廣域網安全隧道的一種手段,但防火墻不會集成 IDS 和防病毒,這些還是由專門的設備負責完成。
而用戶又如何看待呢?他們關注只有兩個方面:一是他們需要防火墻,二是他們需要其它的安全,但許多大的行業用戶一旦進行網絡安全設計,一般會進行較系統的規劃,他們可能會將 IDS 、防火墻、防病毒等分開考慮、統一規劃(也許他們的資金更充裕)。這個現象類比到 “ 胖 ” 、 “ 瘦 ” 防火墻來說,相當于這兩種墻都有著自己的市場。隨著技術的發展, “ 胖、瘦 ” 防火墻將出現部分融合轉化的趨勢,而這種融合正是推動安全保障體系演進與安全產品形態演繹的重要力量。
無論 “ 胖 ” 還是 “ 瘦 ” ,任何一種防火墻只是為網絡通信或者是數據傳輸提供更有保障的安全性,但是我們也不能完全依賴于防火墻。防火墻技術更多是在對報文包頭的處理,而 IDS 技術和防病毒技術更多是對報文負載的處理, VPN 技術是加密流量,還需要 Honeynet 、 Forensics 技術等。
用戶的價值取向:
安全業界不斷出現新的概念和新的產品,作為最終使用者和受益者 — 用戶來說,在選購的時候難免會有困惑 : 該如何避免來自方方面面的暗示和誘導呢?恐怕明確需求,把握實際是唯一的選擇。當然,在選擇的過程中,專家和廠商的經驗需要借鑒,也是必不可少的。通過不斷地溝通和學習,企業對自身需求的理解和對安全的認識也會與時俱進的。
選擇防火墻,最為關鍵的自然是要了解自身的特點。以 IT 的眼光來看,信息安全的重要程度有兩個層面,一個層面是指所有企業所共有的信息系統體系中,何者為重、何者次之;一個層面則是指具體到企業信息系統,也需要劃分輕重緩急,在這個層面上主要表現為企業所屬的行業所共有的特點。
第一個層面與企業的發展。程度有關發展中的中小企業由于處于不穩定期,對企業發展最為重要的應該是業務信息資源(包括客戶信息、技術信息、市場信息等),其次是財務信息,再次是其他信息。而處于穩定期的大中型企業,更重視企業的均衡發展,特別是注重以人為本的信息資源,對管理、流程、人事、企業文化的注重,將會接近對企業業務和財務信息的重視程度。
第二個層面上的意義在于行業特點決定了信息安全系統的不同模式。防火墻做為一個網絡安全設備,它必須與應用環境緊密地結合起來,其應用環境會變得更為全面與復雜,需要著重思考防火墻會用在什么環境中,這些應用環境又對防火墻提出了什么樣的要求,因此防火墻市場會進一步細分。更值得關注的是,防火墻根據相應用戶群的價格承受能力進行精致的定價。其中主打中小型企業市場的產品更強調性價比;從產品的角度講,根據不同的產品系列、核心技術以及解決方案,同樣會有相應細分的價格方案。用戶可以在安全定制的基礎上,實現 “ 安全 DIY” ,只有理性、務實發展,才能成為市場上有競爭力的品牌。
總結而言,我們進行安全規劃的思路應該是這樣一條線:確定企業自身特點 — 確定信息安全需求 — 確定企業所能負擔的成本 — 確定各個層次的具體措施 — 將成本與實施手段掛鉤 — 平衡信息安全需求與投入之間的差異 — 制訂具體的實施計劃 — 進行實施考察與調整。
需求、成本、實施手段,一個都不能少。
構建聯動一體的體系:
沒有絕對的 “ 胖 ” 和絕對的 “ 瘦 ” ,應該收斂目前市場上 “ 胖防火墻 ” 和 “ 瘦防火墻 ” 這兩個極端觀點。無論是 “ 胖 ” 防火墻的集成,還是 “ 瘦 ” 防火墻的聯動,安全產品正在朝著體系化的結構發展,所謂 “ 胖瘦 ” 不過是這種體系結構的兩種表現方式, “ 胖 ” 將這種體系表現在一個產品中,而 “ 瘦 ” 將這種體系表現在一組產品或是說一個方案中。同時,這種體系化的結構需要非常完善的安全管理,也就是說,通過安全管理中心產品 , 整合系列安全產品,構架成聯動和一體的產品體系 , 實現對用戶、資源和策略的統一管理,確保整體解決方案的安全一致性,是構建網絡安全系統的大趨勢。
