關(guān)注安全領(lǐng)域的人對于防火墻都不陌生，他們僅僅是整個(gè)網(wǎng)絡(luò)安全組織的一部分而已，類似于XML。但是，防火墻是永遠(yuǎn)也不會消失的。長期以來，防火墻都是網(wǎng)絡(luò)中的最后一道防線，然而，隨著威脅類型的不斷變化和增長，一些國家和組織機(jī)構(gòu)也針對防火墻的安放位置進(jìn)行了大量的討論和研究，卻沒有取得很好的成效。在這樣一個(gè)幾乎所有的安全措施都不能起到成效的時(shí)代里，防火墻還有作用嗎?這里我們?yōu)榇蠹腋爬朔阑饓v史上的幾個(gè)里程碑，主要是從早期的采用包過濾技術(shù)而作為代理服務(wù)器的防火墻到下一代防火墻這段時(shí)期，包括云防火墻。同時(shí)，我們也預(yù)測了防火墻以及防火墻管理的發(fā)展趨勢。

[[86659]]

里程碑一：作為代理服務(wù)器的防火墻

在20世紀(jì)90年代初期，防火墻僅僅是一個(gè)代理服務(wù)器，這是一項(xiàng)特別簡單的技術(shù)。在這個(gè)階段，防火墻通常設(shè)置在網(wǎng)絡(luò)的邊界位置，并且用于代理內(nèi)部網(wǎng)絡(luò)的流量資源，這些流量可以經(jīng)過過濾形成其他資源。

里程碑二：包過濾防火墻

在20世紀(jì)90年代初期，其實(shí)也有包過濾這項(xiàng)技術(shù)，主要運(yùn)行在服務(wù)器上，用來檢測進(jìn)入網(wǎng)絡(luò)的流量。管理員可以創(chuàng)建安全策略以及基本的規(guī)則庫，完成包過濾要基于TCP/IP的5個(gè)屬性：源IP、源端口、目的IP、目的端口和目的地協(xié)議。

里程碑三：狀態(tài)防火墻

每一次包過濾只針對個(gè)別的包，但是防火墻使用狀態(tài)封包檢測技術(shù)以后，能夠保留數(shù)據(jù)包，直到有足夠的信息來作出“是”或“否”的決定。狀態(tài)防火墻在今天也仍在被使用，但也在開始改變著。

里程碑四：統(tǒng)一威脅管理成了最新的流行詞

在21世紀(jì)初，統(tǒng)一威脅管理(簡稱UTM)裝置出現(xiàn)在了市場上，它是一個(gè)一體化的設(shè)備，集成了多種安全技術(shù)于一身，包括安全套接字層(SSL)虛擬私用網(wǎng)絡(luò)、反病毒技術(shù)、入侵防御系統(tǒng)(IPSes)和防火墻。

里程碑五：下一代防火墻(NGFWs)

防火墻的最新發(fā)展成果就是下一代防火墻，它依然采用了包過濾技術(shù)，但這種技術(shù)是在應(yīng)用層和用戶流量統(tǒng)計(jì)上執(zhí)行細(xì)化安全策略的基礎(chǔ)上進(jìn)行實(shí)施的。此外，下一代防火墻集成了Internet協(xié)議安全性(簡稱IPSes)和其他的防護(hù)功能于一身，能夠有效屏蔽惡意的網(wǎng)站流量。

預(yù)測一：防火墻虛擬化

在未來的幾年，防火墻將會朝著虛擬化方向發(fā)展。和傳統(tǒng)防火墻一樣，這種虛擬防火墻能夠檢測數(shù)據(jù)包，能夠在虛擬機(jī)上采用一定的安全策略規(guī)則來屏蔽不可靠的數(shù)據(jù)傳輸。但是虛擬防火墻不會取代專用的防火墻操作，來達(dá)到或者接近線速速，因?yàn)楫?dāng)組織開始把工作負(fù)載和不同的安全需求結(jié)合的時(shí)候，將會對這種虛擬防火墻有更多的要求。

預(yù)測二：云防火墻

自云計(jì)算和移動設(shè)備的出現(xiàn)以來，分析家們就已經(jīng)預(yù)測到基于云的防火墻將會更加集中運(yùn)用于服務(wù)上，Web應(yīng)用防火墻就是一個(gè)很好的例子。

預(yù)測三：具有更多安全功能

我們已經(jīng)看到了統(tǒng)一威脅管理技術(shù)和下一代防火墻的集成，接下來，我們要做的就是超越把更多的功能添加在一個(gè)盒子里的這種簡單技術(shù)，把數(shù)據(jù)和功能更有效地集成起來，得到更快更好的決策。比如，這將意味著會有一些安全信息和事件管理(統(tǒng)一稱為SIEM)平臺，從網(wǎng)關(guān)處得到相關(guān)數(shù)據(jù)，進(jìn)而動態(tài)調(diào)整防火墻規(guī)則，以此來緩和一些特殊的威脅。

預(yù)測四：更深入的內(nèi)容檢測

隨著新一代防火墻出現(xiàn)在市場上，內(nèi)容檢測也得到了很大的改善。通常情況下，每一代檢測軟件的問市，都會比原來運(yùn)行得更精簡、快速，也更加有效。

預(yù)測五：業(yè)務(wù)管理防火墻

在未來，一些大型組織會有更多的決策需要執(zhí)行，而隨著網(wǎng)絡(luò)復(fù)雜性的提高，我們需要從業(yè)務(wù)應(yīng)用的角度上，而不是嚴(yán)格地從防火墻或是安全檢測方面去分析問題。這是整個(gè)軟件行業(yè)的一種趨勢，就業(yè)務(wù)應(yīng)用這個(gè)例子來看，對于電商組織而言，信用卡處理服務(wù)是不可或缺的。因此，如果一條防火墻規(guī)則阻止了工作的運(yùn)行或使其進(jìn)程變慢了，那么該組織將會受到影響。如何管理不斷發(fā)展的防火墻，這也是一個(gè)新的發(fā)展方向。

原文鏈接: http://www.eweek.com/security/slideshows/firewall-evolution-5-milestones-5-predictions.html