防火墙的“发胖”与“发威(2)

　　“五一”期间的中美黑客大战中，大批网站被入侵，主页被改得面目全非。作为盾牌，防火墙首当其冲。其实，之前很多用户本把希望寄托在防火墙上，但防火墙不堪重负，似乎有辱使命。在有防火墙保护情况下，分析这次被入侵的网站,从主要的日志记录及监控内容看，几乎都是利用了HTTP服务本身的漏洞或脆弱性，其中使用最多的是针对Windows NT/2000的Unicode漏洞攻击，防火墙所禁止的访问事实上并未发现任何突破。对于Unicode攻击，其实在防火墙上可以通过定义HTTP的URL过滤策略，让防火墙识别HTTP通信中的URL请求来加以控制。只不过需要在防火墙上定义很多规则。

　　从原理上说，抵御这些攻击在防火墙上的实现并不复杂，但在防火墙的管理上会增加大量的工作，管理者需要不断地升级识别库，识别库的维护更是需要大量的工作。

　　对于防火墙本身，面对越来越大的识别库，要求防火墙的性能逐渐增高，或者开始就预留较大的处理能力。但上述实现要求防火墙能在通常的包缓冲队列中就能发现攻击行为，而包缓冲队列不能太长，否则对用户而言，将表现为很长的延时，这种处理是不可行的。如病毒监测，不能在防火墙上缓存一个兆级的文件以便成功检查并处理病毒，如果真有病毒，使用者还可能谅解，但如果最终检查的结果为无病毒，用户必然不能接受。

　　要“发威”须以防火墙为核心构建安全体系！

　　显然，如果防火墙能和IDS、病毒检测等相关安全系统联合起来，充分发挥各自的长处，协同配合，就能共同建立一个有效的安全防范体系。简单地说，相关专业检测系统专责于某一类安全事件的检测，一旦发现安全事件，则立即通知防火墙；在防火墙上，要禁止某一通信行为，可以说是简单而准确的，因此，充分发挥各专业厂商的技术优势，形成有机的整体安全系统，这样的安全系统不但有效，而且还具备一定的自动智能。

　　以防火墙为核心形成开放的安全应用体系将形成一种防火墙系统的发展方向。防火墙在这一体系中充当主体角色，同时它也是一个服务中心，将得到其他安全产品的大力支持，真正成为名副其实的防火墙系统。