[转载]防火墙何时消失？

skipjack

本文档的Copyleft归yfydz所有，使用GPL发布，可以自由拷贝，转载，转载时请保持文档的完整性，严禁用于任何商业用途。
msn: yfydz_no1@hotmail.com
来源：http://yfydz.cublog.cn

防火墙出现比其他网络设备如路由器、交换机等晚不少时候，现在也已经是基本网络设备，但防火墙本身是依赖于网络漏洞而存在的设备，其消亡有应该比路由器、交换机要快得多。

防火墙的基本功能是访问限制，但对于网络层、传输层上的限制和攻击防御已经不是太消耗资源的检查，在边界路由器上已经可以使用这些功能，而既然交换机都可以作到3层的，再增加这些功能也不是太困难。随着硬件性能的增加而价格又不断下降，将状态检测功能也在交换机、路由器上实现这些是很可能的，而防火墙目前的各种网络功能，实际是更是路由器的强项，反正网络层传输层的应用应该是没有什么不能在路由器上拥有的。而且随着网络协议的完善，用IPv6取代IPv4，SCTP取代TCP，各种网络层、传输层的攻击手段已经很多在协议中就进行了弥补，自身的安全性已经得到了很大的提高，关键就是看这些协议何时升级了。

其实现在防火墙真正的访问控制重点已经转到了应用层上，通过对应用层数据的检测来实现更细粒的控制，但实现这种功能的前提是数据是明文的，对于加密数据就毫无能力了，如果以后网络数据都是加密的，防火墙的这个功能也就无用了。当然，要实现所有网络数据都是加密的还有很长一段路要走，在IPv4时代，明文数据可能会一直存在，虽然会有替代，如HTTPS替代HTTP，SSH替代TELNET等，但还是不能实现透明的加密操作，用户层还是知道是加密还是不加密。而真正实现透明加密的IPSec，却由于本身不是IPv4最初的设计部分，要应用需要另外添加成本而不可能全面应用；但对于IPv6，IPSec已经成了协议的基本组成部分，可以说一旦实现了IPv6栈一定要实现IPSec功能的，因此一旦IPv6普及，实现网络端对端全面通信数据加密的时代也就普及了，这时所有通信都被IPSec保护，这时防火墙作为网络中间设备是无法再分析这些数据内容，只能进行网络层IP地址级别的访问限制，因为看到的只是AH、ESP协议数据头（AH由于不加密，一般用AH时也用ESP），而这种控制用路由器就可以了，这时甚至不需要状态检测功能了。

综上所述，防火墙作为填补网络协议设计漏洞而出现的设备，随着网络协议发展和路由器、交换机功能的增强而不断受到夹击，生存空间会越来越小，即使现在把很多功能都塞进防火墙搞成所谓的UTM，也不能挽救其消亡的命运，本质上如果IPv4等这些漏洞协议消亡了，尤其是所有网络数据都进行加密保护的时候，防火墙也就没有存在的必要的，IPv6+IPSec将是防火墙的杀手，网络型IDS也是同样的下场，到那时候也有安全问题，但已经不是网络安全而是主机安全了。

(本文不考虑政治因素，有可能政治将使明文协议永远存在)

zjzf_1

发展到帖子没人看的至高境界了

teczm

V6需要应用支撑，v4至少还有10年活头；墙亦然。

西门飞

没有了病毒，木马，间谍软件.......................


总之，世界大合了，就不要了.

www_ftp

原帖由 zjzf_1 于 2006-8-22 00:12 发表
发展到帖子没人看的至高境界了

有道理,有网络的地方必定有漏洞,有漏洞的地方必定要补.要补必需用专用的设备.核心的路由器等不能天天升级吧,这种专用的设备就是前锋,当然等新的攻击到来,旧的攻击可能交给路由器处理了.IPSec等大规模应用时,可能安全问题更多,针对IPSec的攻击也需更难解决.拉登骑毛驴送信有时比他给电话加密更有效.

我

原帖由 西门飞 于 2006-8-22 11:33 发表
没有了病毒，木马，间谍软件.......................


总之，世界大合了，就不要了.

=地球末日？

看来还是要尽快修好太空船。

draculd520

）*—……%*）—%*—）

net_robber

汝欲断吾等活路？？？？？？？


拿命来！！！~~

21932008

好铁呀。。。。


似乎很有道理丫

cnadl

呵呵，事物永远是相对的。

只要点对多点结构存在，防火墙就能活下去。

道理很简单：既然单点的那台设备能支持多点的连接加密，那么没有道理找不到一台类似处理能力的东西放置在路径上。

举简单例子：

Server --- SSL +速器 --- Client，这是现在SSL的普遍用法，那么首先可以考虑把FW放在SSL后面，或者整合，或者最昂贵的方案，在SSL前面放置FW，三种都可以实现保护。

不过现在FW对于应用层内容检测过滤方面，确实还是太弱了；或者说，需要应用层内容过滤的地方，他们的要求都太高。