防火墙迈向安全应用网关(1)

　　日前，WatchGuard公司负责把握防火墙战略方向和发展进程的网络安全部高级副总裁Marck W.Stevens一行访华，为中国用户带来有关防火墙技术发展的最新方向。

　　集成入侵防御功能

　　随着黑客攻击、蠕虫病毒、恶意代码的大量涌现，企业网络所面临的风险逐日倍增，传统的防火墙技术带来了巨大挑战。Marck W.Stevens认为，在过去四年里，防火墙技术进展不大，在抵挡数目繁多、手法诡秘的新型攻击时显得力不从心。

　　许多用户将“包过滤”或“状态监测”防火墙作为防线，许多攻击利用了这类防火墙的缺陷。98%的网络通信是由HTTP、FTP、SMTP和DNS构成，这些协议都有可能被黑客用来发动攻击，使防火墙麻痹大意，而放过攻击。如果防火墙的性能不够，由防火墙保护的网络还容易遭受DoS和DDoS攻击。Marck W.Stevens认为在防线上添加入侵防御措施能够解决这一问题。用户可以采取两个方式来实现：一是在现有防火墙的基础上添加一个入侵防御系统，二是将现有防火墙替换成新型防火墙（又称“安全网关”），新型防火墙集成有入侵防御技术。

　　Marck W.Stevens赞成将入侵防御系统集成到防火墙中，主要是因为能够进行更好的DOS/DDoS保护，简化管理，降低配置错误，并且快速响应。如果使防火墙与入侵防御系统相互独立，防火墙位于入侵防御之外，那么DoS攻击就可能在抵达IPS系统之前使防火墙超载。此外，独立的管理控制台加大了管理和配置的复杂性，并有可能导致安全漏洞。自1997年开始，WatchGuard就在防火墙和VPN设备中集成了入侵防御功能，并且将在新一代防火墙当中为用户提供全面的入侵防御功能。