扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
模式转变
功能扩展
现在的防火墙产品已经呈现出一种集成多种功能的设计趋势,包括VPN、AAA、PKI 、IPSec等附加功能,甚至防病毒、入侵检测这样的主流功能,都被集成到防火墙产品中了,很多时候我们已经无法分辨这样的产品到底是以防火墙为主,还是以某个功能为主了,即其已经逐渐向我们普遍称之为IPS(入侵防御系统)的产品转化了。有些防火墙集成了防病毒功能,这样的设计会对管理性能带来不少提升,但同时也对防火墙产品的另外两个重要因素产生了影响,即性能和自身的安全问题,所以我们的意见是应该根据具体的应用环境来做综合的权衡,毕竟这个世界暂时还不存在什么完美的解决方案。
防火墙的管理功能一直在迅猛发展,并且不断地提供一些方便好用的功能给管理员,这种趋势仍将继续,更多新颖实效的管理功能会不断地涌现出来,例如短信功能,至少在大型环境里会成为标准配置,当防火墙的规则被变更或类似的被预先定义的管理事件发生之后,报警行为会以多种途径被发送至管理员处,包括即时的短信或移动电话拨叫功能,以确保安全响应行为在第一时间被启动,而且在将来,通过类似手机、PDA这类移动处理设备也可以方便地对防火墙进行管理,当然,这些管理方式的扩展需要首先面对的问题还是如何保障防火墙系统自身的安全性不被破坏。
性能提高
未来的防火墙产品由于在功能性上的扩展,以及应用日益丰富、流量日益复杂所提出的更多性能要求,会呈现出更强的处理性能要求,而寄希望于硬件性能的水涨船高肯定会出现瓶颈,所以诸如并行处理技术等经济实用并且经过足够验证的性能提升手段将越来越多的应用在防火墙产品平台上;相对来说,单纯的流量过滤性能是比较容易处理的问题,而与应用层涉及越密,性能提高所需要面对的情况就会越复杂;在大型应用环境中,防火墙的规则库至少有上万条记录,而随着过滤的应用种类的提高,规则数往往会以趋进几何级数的程度上升,这是对防火墙的负荷是很大的考验,使用不同的处理器完成不同的功能可能是解决办法之一,例如利用集成专有算法的协处理器来专门处理规则判断,在防火墙的某方面性能出现较大瓶颈时,我们可以单纯地升级某个部分的硬件来解决,这种设计有些已经应用到现有的产品中了,也许未来的防火墙产品会呈现出非常复杂的结构,当然,从某种角度来说,我们祈祷这种状况最好还是不要发生。
另外根据经验,除了硬件因素之外,规则处理的方式及算法也会对防火墙性能造成很明显的影响,所以在防火墙的软件部分也应该会融入更多先进的设计技术,并衍生出更多的专用平台技术,以期缓解防火墙的性能要求。
综上所述,不论从功能还是从性能来讲,防火墙产品的演进并不会放慢速度,反而产品的丰富程度和推出速度会不断的加快,这也反映了安全需求不断上升的一种趋势,而相对于产品本身某个方面的演进,更值得我们关注的还是平台体系结构的发展以及安全产品标准的发布,这些变化不仅仅关系到某个环境的某个产品的应用情况,更关系到信息安全领域的未来。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。