抵抗DDoS 防火墙还需“更新换代”

　　面对DDoS的强势攻击，历数现有的很多先进的防火墙产品概念，往往会不由自主地思考，为了抵抗DDoS简单粗暴的进攻，哪种模式更具竞争力?更先进的防火墙模式应该是怎样的?或许防火墙是应该再变变了。

　　与那些精心设计的攻击手段相比，DDoS显得十分“粗线条”，甚至特别不具有技术含量。然而，利用大面积的受控制的僵尸主机，现今的攻击者可以发起非常大规模的攻击，足以造成一些大型网络设施的瘫痪。

　　DDoS成为无解的难题

　　2008年度大规模爆发的Conficker蠕虫危害所造成的影响至今仍历历在目。尽管该蠕虫利用的系统漏洞很快就被发现同时也有了修补程序，但是在随后的一个季度里，Conficker和它的变种程序仍旧控制了超过150个国家的上千万台计算机。

　　与传统的、单纯的DDoS攻击不同，追求利益的黑客社团并非为了有趣而纠集如此数量众多的计算机。他们依赖出售所控制的计算机资源给最终发起攻击的人来谋取利益，或者对所控制的计算机施行网络钓鱼等欺诈性操作从而获得有经济价值的情报。

　　事实上，当全球的公司和组织仍旧将信息安全防护的中心指向互联网的时候，其内部网络中的计算机往往却成为危害互联网安全和其它组织安全的“帮凶”。

　　DDoS作为一种典型的互联网攻击手段，其名字当中所包含的“分布式”字样已经明确地表明了其本质所在。而其背后的僵尸网络体系，更是汇集了互联网安全领域的诸多问题。

　　事实上，当下流行的绝大多数安全问题，都表现出综合多种攻击方式、结合社交工程手段、有目的分阶段地展开动作等特征。互联网时代的安全问题，正呈现出高度分布化的特征，传统的安全防护手段显得捉襟见肘也就不足为怪了。

　　与分布式攻击对应的，用户的防范措施不能停留在诸如网关防护这样的单点防御层面上，而也应该具有相适应的体系。各种不同防护措施的联动已经不能够完全满足需要，能够跨越组织边界的、彻底面向互联网的安全防护体系，才能够真正保障用户的信息安全性。

　　具有新时代特征的防火墙

　　传统防火墙基于三层和四层的包过滤，很容易造成单点突破问题，安全强度得不到保障。而随着应用层过滤的不断主流化，以及在UTM理念倡导下的功能整合化、规则统一化、平台灵活化，防火墙产品在防范互联网威胁方面已经取得了长足的进步。

　　然而，就目前的情况来看，这些进步还远没有达到令用户高枕无忧的程度。尽管防火墙类型的产品在性能和功能上乃至防护范围上都有了很大的提高，但是在应对高速变化的互联网威胁方面，在灵活程度和适应能力方面仍旧有所欠缺。

　　UTM作为一个广受认可的理念和实践框架，已经在各个主流厂商的产品中有所体现。虽然很多专攻UTM产品市场的厂商都尽可能地突出UTM与防火墙的不同，但是不可忽视的一点在于，UTM产品在检测模式等基本工作原理上仍旧与防火墙如出一辙。

　　即便是性能达到万兆级别的多核UTM系统，其设计模型中也不可避免地充斥着防火墙技术的痕迹。所以说，UTM产品在很大程度上可以看作是防火墙产品的发展和扩展，是全新一代的防火墙。

　　值得注意的是，目前有为数不少的主流厂商都在跟进X-UTM的概念，其中就包括了在UTM产品领域处于领先地位的Foreinet公司。具有充分灵活的架构以保证能根据不同需要集成安全功能是X-UTM架构的最重要特征，而这也延续了UTM架构的核心理念。与最初的UTM产品相比，X-UTM产品除了具备充足的运算性能以实现真正的UTM之外，X-UTM产品还严格要求所集成的功能在管理层面上取得统一，并能够紧密配合。一个真正的X-UTM产品平台，可以灵活地插接安全功能，并能实时根据当前的应用情景调配各个部分的性能配给，还可以智能地保证产品随时都达到最大的综合功效。

　　与X-UTM相类似的还有被称为XTM的产品模式，这是由WatchGuard公司所推出的一种致力于提高安全设备扩展能力的架构，其X就取自英文的扩展一词。在实际功能方面，XTM产品在传统的防护功能基础上大力扩展针对Web安全威胁的保护功能以及对于应用层内容的过滤。

　　而由于要对更多的功能进行管理，要对更多的未知威胁进行预警，可管理性也是XTM产品的重要指标。可以说，面对每年都会有所变化的主流安全问题，可扩展的安全架构可以让硬件级安全设备也具有近似于软件安全产品的“升级”能力，具有相当的实用性。