第一十零章 商业防火墙产品及选购

    目前市场上的防火墙产品可谓是琳琅满目，各安全厂商都在不断推出适合各种应用的防火墙产品系列。本章对国内外一些主要的防火墙产品做简单介绍，帮助读者对主流防火墙产品有基本的了解，最后还给出了防火墙产品选型的一些基本原则。

    10.1商业防火墙产品概述

    目前的防火墙产品可以概括为“胖”、“瘦”两个大类。所谓“胖”防火墙是指功能大而全的防火墙，它力图将安全功能尽可能多地包含在内，从而成为用户网络的一个安全平台；而所谓“瘦”防火墙是指功能少而精的防火墙，它只做访问控制的专职工作。

    10.1.1 “胖”防火墙产品

    “胖”防火墙在保证基本功能的前提下，不断扩展增值功能——NAT、VPN、QoS以及入侵检测IDS、防病毒AV等。“胖”防火墙将安全趋向于一种注重功能大而全的单一产品体系，力图将防火墙系统开发成为一个安全域的整体解决方案，它的优点在于可以满足用户绝大部分的网络安全需求。

    防火墙最开始也是一个单独的设备与概念，它和VPN、IDS和AV等都是同时并立的。但随着客户需求的不断变化，在大而全的思想引导下，防火墙慢慢集成了 VPN，集成了IDS，甚至集成了防病毒网关。理论上，防火墙+IDS+AV+VPN部署已经可以提供较全面的保护，但由于大多数中小企业的用户并非安全专家，更不可能24h监视安全报告并做出响应，因此组合多种产品功能形成智能化的防御体系、发现并及时中止入侵的发生也就成为安全技术的一种发展方向。

    另外，对于一般的客户来说，分别购买多个IDS、防火墙、VPN及防病毒网关产品是一个不小的财力负担，而高度集成的“胖”防火墙产品大大减少了用户的支出并降低了管理成本。

    “胖”防火墙的缺点也是很明显的，最突出的就是性能问题。因为它强制将边界安全集中在单一控制点，本有性能瓶颈之忧，在性能瓶颈点增加IDS、AV等模块，又会加剧瓶颈效应。同时，附加模块将增加安全策略规则数目，也将加剧防火墙性能指标恶化。另外，产品模块增多，也会导致可靠性和安全性的降低。

    集成化不应仅仅是产品的简单叠加，“胖”防火墙从概念上讲是可以的，但从技术实现上讲，有许多实际问题，可能造成的结果就是多而不精。

    10.1.2“瘦”防火墙产品

    一般来说，大型用户安全需求广泛，专业性要求强，安全投入较大，自身安全管理能力也较高，因此，这种客户均倾向于使用独立的安全设备。安全厂商也竭力挖掘防火墙产品的最大功能，“瘦”防火墙也就经历了从包过滤、应用代理、状态检测到深度检测、智能检测以及从双机热备到负载均衡、高可用性集群（High Availability Cluster）的发展阶段。

    针对这类用户，为了要满足多种安全需求，安全厂商在设计安全解决方案时，通常会考虑以安全管理为核心，以多种安全产品的联动为基础，如防火墙与IDS和AV全面互动形成动态防御体系。以安全管理为核心使得安全网关不需要专人时时注视，不需要人工判断入侵事件，不需要预先设置大量的阻断规则，只需要在管理系统中根据安全需求设定互动规则。防病毒系统会在发现病毒后立即通知IDS添加到规则库中，而IDS系统会在发现入侵行为后立即使防火墙产生阻断入侵的规则，从而自动为用户带来安全的网络环境。

    正因为联动技术要多种安全手段同时应用，需要一个统一管理的平台。所以，许多有实力的生产厂商在不断推出“瘦”防火墙等专业安全产品的同时，开发并推出整体安全管理解决方案——信息安全管理平台。

    安全管理平台能够为用户的网络应用建立方便完善的集中管理机制、统一协调机制、综合分析机制和关联响应机制，能在诸多方面为安全管理工作带来显著的效益。例如通过管理平台，能够配置IDS与防火墙、防病毒系统之间联动策略；当IDS检测到蠕虫攻击事件时，网络中的防火墙和防毒系统马上可以收到事件通报；于是防火墙采取行动，封堵病毒传播通道，防毒系统进入查杀过程。蠕虫病毒就被以最快的速度遏止，并被消灭在一个有限的网络范围内。

    应用安全管理平台，可以使“瘦”防火墙等专业安全产品协同工作、关联响应，从而全面提高企业整体安全风险防范能力，这也是“瘦”防火墙得到越来越多客户青睐的重要原因。但是，接口、联动、管理需要灵活的开放性和可扩展性，如果配合不当，也会给用户带来许多问题。

    10.1.3 如何在“胖”、“瘦”防火墙产品之间选择

    从本质上讲，“胖”、“瘦”防火墙没有好坏之分，只有需求上的差别。应当认识到，无论“胖”还是“瘦”，任何一种防火墙只是为网络通信或者是数据传输提供更有保障的安全性，它并不是万无一失的。

    一个组织（例如企业、学校）选择防火墙，应当把这个工作放到安全整体规划过程之中：确定自身特点→确定信息安全需求→确定所能负担的成本→确定各个层次的具体措施→将成本与实施手段挂钩→平衡信息安全需求与投入之间的差异→制订具体的实施计划→实施考察与调整。

    无论是“胖”防火墙的集成，还是“瘦”防火墙的联动，安全产品正在朝着体系化的结构发展，所谓“胖”、“瘦”不过是这种体系结构的两种表现方式，“胖”将这种体系表现在一个产品中，而“瘦”将这种体系表现在一组产品或是一个方案中。同时，这种体系化的结构需要非常完善的安全管理，也就是说，通过安全管理中心这类产品，整合系列安全产品，构架成联动和一体的产品体系，实现对用户、资源和策略的统一管理，确保整体解决方案的安全一致性，这是构建网络安全系统的趋势。