企業(yè)硬件防火墻的三大發(fā)展趨勢

未來防火墻的發(fā)展趨勢是朝高速、多功能化、更安全的方向發(fā)展。

1、高速。

目前防火墻一個(gè)很大的局限性是速度不夠，真正達(dá)到線速的防火墻少之又少。防范DoS (拒絕服務(wù))是防火墻一個(gè)很重要的任務(wù)，防火墻往往用在網(wǎng)絡(luò)出口，如造成網(wǎng)絡(luò)堵塞，再安全的防火墻也無法應(yīng)用。應(yīng)用ASIC、FPGA和網(wǎng)絡(luò)處理器是實(shí)現(xiàn)高速防火墻的主要方法，但尤以采用網(wǎng)絡(luò)處理器最優(yōu)，因?yàn)榫W(wǎng)絡(luò)處理器采用微碼編程，可以根據(jù)需要隨時(shí)升級，甚至可以支持IPv6，而采用其他方法就不那么靈活。實(shí)現(xiàn)高速防火墻，算法也是一個(gè)關(guān)鍵，因?yàn)榫W(wǎng)絡(luò)處理器中集成了很多硬件協(xié)處理單元，因此比較容易實(shí)現(xiàn)高速。對于采用純CPU的防火墻，就必須有算法支撐，例如ACL算法。

2、多功能化。

多功能也是防火墻的發(fā)展方向之一，鑒于目前路由器和防火墻價(jià)格都比較高，組網(wǎng)環(huán)境也越來越復(fù)雜，一般用戶總希望防火墻可以支持更多的功能，滿足組網(wǎng)和節(jié)省投資的需要。例如，防火墻支持廣域網(wǎng)口，并不影響安全性，但在某些情況下卻可以為用戶節(jié)省一臺路由器，支持部分路由器協(xié)議，如路由、撥號等，可以更好地滿足組網(wǎng)需要；支持IPSec VPN，可以利用因特網(wǎng)組建安全的專用通道，既安全又節(jié)省了專線投資。據(jù)IDC統(tǒng)計(jì)，國外90%的加密VPN都是通過防火墻實(shí)現(xiàn)的。

3、安全。

未來防火墻的操作系統(tǒng)會更安全。隨著算法和芯片技術(shù)的發(fā)展，防火墻會更多地參與應(yīng)用層分析，為應(yīng)用提供更安全的保障。在信息安全的發(fā)展與對抗過程中，防火墻的技術(shù)一定會不斷更新、日新月異，在信息安全的防御體系中，起到堡壘的作用。