sayunara 2011-01-10
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。
来源:http://yfydz.cublog.cn
防火墙出现比其他网络设备如路由器、交换机等晚不少时候,现在也已经是基本网络设备,但防火墙本身是依赖于网络漏洞而存在的设备,其消亡有应该比路由器、交换机要快得多。 防火墙的基本功能是访问限制,但对于网络层、传输层上的限制和攻击防御已经不是太消耗资源的检查,在边界路由器上已经可以使用这些功能,而既然交换机都可以作到3层的,再增加这些功能也不是太困难。随着硬件性能的增加而价格又不断下降,将状态检测功能也在交换机、路由器上实现这些是很可能的,而防火墙目前的各种网络功能,实际是更是路由器的强项,反正网络层传输层的应用应该是没有什么不能在路由器上拥有的。而且随着网络协议的完善,用IPv6取代IPv4,SCTP取代TCP,各种网络层、传输层的攻击手段已经很多在协议中就进行了弥补,自身的安全性已经得到了很大的提高,关键就是看这些协议何时升级了。 其实现在防火墙真正的访问控制重点已经转到了应用层上,通过对应用层数据的检测来实现更细粒的控制,但实现这种功能的前提是数据是明文的,对于加密数据就毫无能力了,如果以后网络数据都是加密的,防火墙的这个功能也就无用了。当然,要实现所有网络数据都是加密的还有很长一段路要走,在IPv4时代,明文数据可能会一直存在,虽然会有替代,如HTTPS替代HTTP,SSH替代TELNET等,但还是不能实现透明的加密操作,用户层还是知道是加密还是不加密。而真正实现透明加密的IPSec,却由于本身不是IPv4最初的设计部分,要应用需要另外添加成本而不可能全面应用;但对于 IPv6,IPSec已经成了协议的基本组成部分,可以说一旦实现了IPv6栈一定要实现IPSec功能的,因此一旦IPv6普及,实现网络端对端全面通信数据加密的时代也就普及了,这时所有通信都被IPSec保护,这时防火墙作为网络中间设备是无法再分析这些数据内容,只能进行网络层IP地址级别的访问限制,因为看到的只是AH、ESP协议数据头(AH由于不加密,一般用AH时也用ESP),而这种控制用路由器就可以了,这时甚至不需要状态检测功能了。 综上所述,防火墙作为填补网络协议设计漏洞而出现的设备,随着网络协议发展和路由器、交换机功能的增强而不断受到夹击,生存空间会越来越小,即使现在把很多功能都塞进防火墙搞成所谓的UTM,也不能挽救其消亡的命运,本质上如果IPv4等这些漏洞协议消亡了,尤其是所有网络数据都进行加密保护的时候,防火墙也就没有存在的必要的,IPv6+IPSec将是防火墙的杀手,网络型IDS也是同样的下场,到那时候也有安全问题,但已经不是网络安全而是主机安全了。 (本文不考虑政治因素,有可能政治将使明文协议永远存在)