防火墙真的已经没有用武之地了么？

现在业界似乎有一种趋势认为防火墙好像没有什么用了，反正防火墙也挡不住什么攻击。在今年，“灰鸽子”和“熊猫烧香”等安全问题屡见不鲜，所以对于用户来说，尤其是那些资金比较充裕的大型行业用户，更倾向于购买一些比较贵的IDS或IPS解决方案。但事实上，防火墙还是有其用武之地的，防火墙还可以做得更多，或许对于很多用户来说，并没有必要再去花更多的钱购买IPS了。
现在，UTM、内容安全等成为了今天信息安全的新名词，在这样的大背景下，防火墙究竟应该是什么样子的呢？什么才是防火墙的立身之本呢？Secure Computing Corporation中国区总经理蔡勇及中国区技术总监郭伟一同阐释了这样的观点，从防火墙本身的设计来看，是作为安全防御的工具，而并不是现在业界的一些误导，所谓的防火墙是靠速度来取胜的，实际上，防火墙应该是靠安全性来制胜的，这才是防火墙的根本。
的确，防火墙从功能上讲，其本质是一个网络安全设备，而并不是路由器或者交换机，安全性应该是比网络通透性更为重要的参考指标。如果做到最后安全性反而缺失了的话，那“防火墙”就没有完成防火墙应该做的事情了，那么防火墙就真的变成了路由器。
当然出现这样的情况，在这其中涉及到了一个产业层面的问题，就是将来究竟是由传统的安全公司，还是由像思科这样的网络设备巨头来主导安全市场。在这里我们并不想讨论这个话题，还是想更多地关注防火墙产品本身。
除了安全性之外，对于防火墙来说，还有一点很重要，那就是应用层代理的高性能。要知道，在目前的互联网环境中，来自于应用层的攻击才是给企业、组织和个人的网络带来不安全因素的主要威胁，就算是网络层和传输层都没有问题，也并不能说明这个防火墙的性能就很好、就很安全。而也正是由于应用层的攻击在整个互联网上日益占据了主导地位，所以说应用层代理的性能才变得更为重要。
另外就是防火墙的主动防御性，Secure Computing Corporation推出的Sidewinder 7.0就是一款提供了主动式防护的防火墙，其集成了TrustedSource信誉技术。借助实时的评分系统可以切断与具有恶意信息的区域的连接，从而实现对垃圾邮件和钓鱼式攻击等安全威胁的防范，并且有效地释放了带宽空间和减轻了下游服务器的处理负担。
其实对于选择防火墙，或者说是对于信息安全的防御，并不应该是“拆东墙补西墙”，就拿前段时间出现的“灰鸽子”和“熊猫烧香”等病毒来说，出现了很多专杀产品，从商业的角度或者从技术的层面来看，就很有投机之嫌，当时是给堵上了，那明天再有别的什么“白鸽子”或者“猴子拜佛”之类的话，那又要怎么办呢？
所以，从另一个层面来讲的话，这也说明中国的用户对于安全问题并没有一个长远的规划。其实无论是选择防火墙或者是其他的安全产品，一个长远的布局是至关重要的。

【相关文章】

• UTM：立体保护才是硬道理

• 企业安全开始走向简单 UTM市场正在酝酿变革

• UTM相关问题问答