关注防火墙技术新动向 2

    这个道理用户懂，可路由器和交换机已经买了千兆的，怎么办?怎么办，买千兆防火墙!挑不挑NP或ASIC或X86，是你的事。其实，把安全问题放在千兆出口来解决，本身就不是一种理想的选择。能在计算机上解决的，不要交给网络;能在10M口上解决的，不要交给100M;能在100M口上解决的不要交给 1000M;如果你还打算把安全问题交给10000M口上去解决，那基本上就是不解决。

　　2、向内看，别老向外看

　　来自网络外部的安全问题当然存在。黑客也罢，敌对势力也罢，外部威胁还在。但是现在90%的安全问题在内部，重点在内部，不在外部。病毒发作，往往是内部传染的。扫描，往往是内部的主机干的。要解决内部的问题，现在的防火墙架构形同虚设。一个只防外不管内的防火墙，怎么管内部的安全问题。再说，防火墙也管不着不经过防火墙的流量。

　　现有的防火墙架构是一种粗颗粒度的访问控制，把整个内部网络当作一个逻辑单元来处理。这种粗颗粒度的访问控制机制不能满足高安全性的要求，不能解决内网的安全问题，因此我们需要细颗粒度的访问控制机制。细颗粒度的访问控制机制未来会很吃香。提高精度，总是好事。

　　要说向内看，思科的网络访问控制(NAC)和微软的网络访问保护(NAP)，都在向内看。最近注意到华为也开始向内看。无论是微软还是思科，尽管有各自的算盘，但在向内看这个问题上，倒是达成一致共识。分布式防火墙，全网安全，网格防火墙(Grid Firewall)，这三样也是典型的向内看的安全架构。

　　无论是思科还是其它的公司，都从去年的SARS事件中得到启发。如果网络的某个主机不安全，在没有有效办法去解决的前提下，最好的办法就是隔离。思科说，我从交换机上将其隔离。分布式防火墙说，我在每一个分布式防火墙上把这个IP和MAC给封了。总之，给隔离了。

　　向内看肯定是一个趋势。细颗粒度的访问控制到底细到什么程度，目前还没有明确的说法。如果能对每一个用户，每一个IP，每一个MAC地址，都进行访问控制，可以肯定这是目前最细颗粒度的访问控制。这样的网络，是一个强制访问控制网络。听听，这个名词，强制访问控制网络(MACNET)，一听就知道是安全的。如果你的网络，每一个用户都有防火墙，每一个IP都有防火墙，每一个MAC地址都有防火墙，你的内网一定相当安全。