[轉(zhuǎn)載]防火墻何時消失？

skipjack

本文檔的Copyleft歸yfydz所有，使用GPL發(fā)布，可以自由拷貝，轉(zhuǎn)載，轉(zhuǎn)載時請保持文檔的完整性，嚴禁用于任何商業(yè)用途。
msn: yfydz_no1@hotmail.com
來源：http://yfydz.cublog.cn

防火墻出現(xiàn)比其他網(wǎng)絡設備如路由器、交換機等晚不少時候，現(xiàn)在也已經(jīng)是基本網(wǎng)絡設備，但防火墻本身是依賴于網(wǎng)絡漏洞而存在的設備，其消亡有應該比路由器、交換機要快得多。

防火墻的基本功能是訪問限制，但對于網(wǎng)絡層、傳輸層上的限制和攻擊防御已經(jīng)不是太消耗資源的檢查，在邊界路由器上已經(jīng)可以使用這些功能，而既然交換機都可以作到3層的，再增加這些功能也不是太困難。隨著硬件性能的增加而價格又不斷下降，將狀態(tài)檢測功能也在交換機、路由器上實現(xiàn)這些是很可能的，而防火墻目前的各種網(wǎng)絡功能，實際是更是路由器的強項，反正網(wǎng)絡層傳輸層的應用應該是沒有什么不能在路由器上擁有的。而且隨著網(wǎng)絡協(xié)議的完善，用IPv6取代IPv4，SCTP取代TCP，各種網(wǎng)絡層、傳輸層的攻擊手段已經(jīng)很多在協(xié)議中就進行了彌補，自身的安全性已經(jīng)得到了很大的提高，關(guān)鍵就是看這些協(xié)議何時升級了。

其實現(xiàn)在防火墻真正的訪問控制重點已經(jīng)轉(zhuǎn)到了應用層上，通過對應用層數(shù)據(jù)的檢測來實現(xiàn)更細粒的控制，但實現(xiàn)這種功能的前提是數(shù)據(jù)是明文的，對于加密數(shù)據(jù)就毫無能力了，如果以后網(wǎng)絡數(shù)據(jù)都是加密的，防火墻的這個功能也就無用了。當然，要實現(xiàn)所有網(wǎng)絡數(shù)據(jù)都是加密的還有很長一段路要走，在IPv4時代，明文數(shù)據(jù)可能會一直存在，雖然會有替代，如HTTPS替代HTTP，SSH替代TELNET等，但還是不能實現(xiàn)透明的加密操作，用戶層還是知道是加密還是不加密。而真正實現(xiàn)透明加密的IPSec，卻由于本身不是IPv4最初的設計部分，要應用需要另外添加成本而不可能全面應用；但對于IPv6，IPSec已經(jīng)成了協(xié)議的基本組成部分，可以說一旦實現(xiàn)了IPv6棧一定要實現(xiàn)IPSec功能的，因此一旦IPv6普及，實現(xiàn)網(wǎng)絡端對端全面通信數(shù)據(jù)加密的時代也就普及了，這時所有通信都被IPSec保護，這時防火墻作為網(wǎng)絡中間設備是無法再分析這些數(shù)據(jù)內(nèi)容，只能進行網(wǎng)絡層IP地址級別的訪問限制，因為看到的只是AH、ESP協(xié)議數(shù)據(jù)頭（AH由于不加密，一般用AH時也用ESP），而這種控制用路由器就可以了，這時甚至不需要狀態(tài)檢測功能了。

綜上所述，防火墻作為填補網(wǎng)絡協(xié)議設計漏洞而出現(xiàn)的設備，隨著網(wǎng)絡協(xié)議發(fā)展和路由器、交換機功能的增強而不斷受到夾擊，生存空間會越來越小，即使現(xiàn)在把很多功能都塞進防火墻搞成所謂的UTM，也不能挽救其消亡的命運，本質(zhì)上如果IPv4等這些漏洞協(xié)議消亡了，尤其是所有網(wǎng)絡數(shù)據(jù)都進行加密保護的時候，防火墻也就沒有存在的必要的，IPv6+IPSec將是防火墻的殺手，網(wǎng)絡型IDS也是同樣的下場，到那時候也有安全問題，但已經(jīng)不是網(wǎng)絡安全而是主機安全了。

(本文不考慮政治因素，有可能政治將使明文協(xié)議永遠存在)

zjzf_1

發(fā)展到帖子沒人看的至高境界了

teczm

V6需要應用支撐，v4至少還有10年活頭；墻亦然。

西門飛

沒有了病毒，木馬，間諜軟件.......................


總之，世界大合了，就不要了.

www_ftp

原帖由 zjzf_1 于 2006-8-22 00:12 發(fā)表
發(fā)展到帖子沒人看的至高境界了

有道理,有網(wǎng)絡的地方必定有漏洞,有漏洞的地方必定要補.要補必需用專用的設備.核心的路由器等不能天天升級吧,這種專用的設備就是前鋒,當然等新的攻擊到來,舊的攻擊可能交給路由器處理了.IPSec等大規(guī)模應用時,可能安全問題更多,針對IPSec的攻擊也需更難解決.拉登騎毛驢送信有時比他給電話加密更有效.

我

原帖由 西門飛 于 2006-8-22 11:33 發(fā)表
沒有了病毒，木馬，間諜軟件.......................


總之，世界大合了，就不要了.

=地球末日？

看來還是要盡快修好太空船。

draculd520

）*—……%*）—%*—）

net_robber

汝欲斷吾等活路？？？？？？？


拿命來�。�！~~

21932008

好鐵呀。。。。


似乎很有道理丫

cnadl

呵呵，事物永遠是相對的。

只要點對多點結(jié)構(gòu)存在，防火墻就能活下去。

道理很簡單：既然單點的那臺設備能支持多點的連接加密，那么沒有道理找不到一臺類似處理能力的東西放置在路徑上。

舉簡單例子：

Server --- SSL +速器 --- Client，這是現(xiàn)在SSL的普遍用法，那么首先可以考慮把FW放在SSL后面，或者整合，或者最昂貴的方案，在SSL前面放置FW，三種都可以實現(xiàn)保護。

不過現(xiàn)在FW對于應用層內(nèi)容檢測過濾方面，確實還是太弱了；或者說，需要應用層內(nèi)容過濾的地方，他們的要求都太高。