免费注册 查看新帖 |

ChinaUnix.net

  平台 论坛 博客 文库
12下一页
最近访问板块 发新帖
查看: 3473 | 回复: 11

[转载]防火墙何时消失? [复制链接]

论坛徽章:
0
发表于 2006-06-09 23:26 |显示全部楼层
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。
msn: yfydz_no1@hotmail.com
来源:http://yfydz.cublog.cn

防火墙出现比其他网络设备如路由器、交换机等晚不少时候,现在也已经是基本网络设备,但防火墙本身是依赖于网络漏洞而存在的设备,其消亡有应该比路由器、交换机要快得多。

防火墙的基本功能是访问限制,但对于网络层、传输层上的限制和攻击防御已经不是太消耗资源的检查,在边界路由器上已经可以使用这些功能,而既然交换机都可以作到3层的,再增加这些功能也不是太困难。随着硬件性能的增加而价格又不断下降,将状态检测功能也在交换机、路由器上实现这些是很可能的,而防火墙目前的各种网络功能,实际是更是路由器的强项,反正网络层传输层的应用应该是没有什么不能在路由器上拥有的。而且随着网络协议的完善,用IPv6取代IPv4,SCTP取代TCP,各种网络层、传输层的攻击手段已经很多在协议中就进行了弥补,自身的安全性已经得到了很大的提高,关键就是看这些协议何时升级了。

其实现在防火墙真正的访问控制重点已经转到了应用层上,通过对应用层数据的检测来实现更细粒的控制,但实现这种功能的前提是数据是明文的,对于加密数据就毫无能力了,如果以后网络数据都是加密的,防火墙的这个功能也就无用了。当然,要实现所有网络数据都是加密的还有很长一段路要走,在IPv4时代,明文数据可能会一直存在,虽然会有替代,如HTTPS替代HTTP,SSH替代TELNET等,但还是不能实现透明的加密操作,用户层还是知道是加密还是不加密。而真正实现透明加密的IPSec,却由于本身不是IPv4最初的设计部分,要应用需要另外添加成本而不可能全面应用;但对于IPv6,IPSec已经成了协议的基本组成部分,可以说一旦实现了IPv6栈一定要实现IPSec功能的,因此一旦IPv6普及,实现网络端对端全面通信数据加密的时代也就普及了,这时所有通信都被IPSec保护,这时防火墙作为网络中间设备是无法再分析这些数据内容,只能进行网络层IP地址级别的访问限制,因为看到的只是AH、ESP协议数据头(AH由于不加密,一般用AH时也用ESP),而这种控制用路由器就可以了,这时甚至不需要状态检测功能了。

综上所述,防火墙作为填补网络协议设计漏洞而出现的设备,随着网络协议发展和路由器、交换机功能的增强而不断受到夹击,生存空间会越来越小,即使现在把很多功能都塞进防火墙搞成所谓的UTM,也不能挽救其消亡的命运,本质上如果IPv4等这些漏洞协议消亡了,尤其是所有网络数据都进行加密保护的时候,防火墙也就没有存在的必要的,IPv6+IPSec将是防火墙的杀手,网络型IDS也是同样的下场,到那时候也有安全问题,但已经不是网络安全而是主机安全了。

(本文不考虑政治因素,有可能政治将使明文协议永远存在)

论坛徽章:
0
发表于 2006-08-22 00:12 |显示全部楼层
发展到帖子没人看的至高境界了

论坛徽章:
0
发表于 2006-08-22 09:31 |显示全部楼层
V6需要应用支撑,v4至少还有10年活头;墙亦然。

论坛徽章:
0
发表于 2006-08-22 11:33 |显示全部楼层
没有了病毒,木马,间谍软件.......................


总之,世界大合了,就不要了.

论坛徽章:
0
发表于 2006-08-22 12:15 |显示全部楼层
原帖由 zjzf_1 于 2006-8-22 00:12 发表
发展到帖子没人看的至高境界了

有道理,有网络的地方必定有漏洞,有漏洞的地方必定要补.要补必需用专用的设备.核心的路由器等不能天天升级吧,这种专用的设备就是前锋,当然等新的攻击到来,旧的攻击可能交给路由器处理了.IPSec等大规模应用时,可能安全问题更多,针对IPSec的攻击也需更难解决.拉登骑毛驴送信有时比他给电话加密更有效.

论坛徽章:
0
发表于 2006-08-22 12:17 |显示全部楼层
原帖由 西门飞 于 2006-8-22 11:33 发表
没有了病毒,木马,间谍软件.......................


总之,世界大合了,就不要了.



=地球末日?

看来还是要尽快修好太空船。

论坛徽章:
0
发表于 2006-08-22 14:02 |显示全部楼层
)*—……%*)—%*—)

论坛徽章:
0
发表于 2006-08-22 16:40 |显示全部楼层
汝欲断吾等活路???????


拿命来!!!~~

论坛徽章:
0
发表于 2006-08-22 17:39 |显示全部楼层
好铁呀。。。。


似乎很有道理丫

论坛徽章:
0
发表于 2006-08-22 19:39 |显示全部楼层
呵呵,事物永远是相对的。

只要点对多点结构存在,防火墙就能活下去。

道理很简单:既然单点的那台设备能支持多点的连接加密,那么没有道理找不到一台类似处理能力的东西放置在路径上。

举简单例子:

Server --- SSL +速器 --- Client,这是现在SSL的普遍用法,那么首先可以考虑把FW放在SSL后面,或者整合,或者最昂贵的方案,在SSL前面放置FW,三种都可以实现保护。

不过现在FW对于应用层内容检测过滤方面,确实还是太弱了;或者说,需要应用层内容过滤的地方,他们的要求都太高。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

数据风云,十年变迁
DTCC 第十届中国数据库技术大会已启航!

2019年5月8日~5月10日,由IT168旗下ITPUB企业社区平台主办的第十届中国数据库技术大会(DTCC2019),将在北京隆重召开。大会将邀请百余位行业专家,就热点技术话题进行分享,是广大数据领域从业人士的又一次年度盛会和交流平台。与SACC2018类似,本届大会将采用“3+2”模式:3天传统技术演讲+2天深度主题培训。大会不仅提供超100场的主题演讲,还会提供连续2天的深度课程培训,深化数据领域的项目落地实践方案。
DTCC2019,一场值得期待的数据技术盛会,殷切地希望您报名参与!

活动入口>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP