Juniper对新一代防火墙的看法

1．您是否认可新一代防火墙的概念？
企业面临很多问题，人员、技术实力、和资金限制。UTM主要针对中小企业和分支机构，高端用户更加关注安全性和可靠性，因此将中小企业作为新一代防火墙的突破点：核心内容包括了第二代UTM的特征。对于传统的UTM技术，主要是防御，网络层、应用层和病毒，对于广域网的融合比较少。而新一代的UTM不单单在病毒防护方面，包括在深层检测和攻击方面，和卡巴斯基赫赛们铁壳，继承了传统的路由器整合，包括兼容路由器板卡，因此预测今后的低端市场，防火墙和路由器会整体作为新一代防火墙设备，提供给用户。本身包括了很强的路由其功能，以及很强的UTM功能。今后一段时间之内，两个新的产品推出，高墙的路由与UTM的整合，一经推出了。 让UTM兼容广域网的特征，目前在广域网的网卡、接口技术、封装技术，如E1、T1的接口，包括电话拨号、ISDN技术，都已经融合进去了。在路由器方面，可以做到RIP、OSPF、BGP、IPv6都已经有了，一些小企业可能当作边缘路由器使用。在测试的时候，用户左路由方面的实验，都可以直接去使用。 2．与传统的防火墙/UTM相比，新一代防火墙的突出特点在于路由与语音技术的整合，这样做是否有必要？
网关软件可以触发报警，大屏幕画出拓扑结构，那个故障可以报警器等等。这种防火墙只能是网管软件的延伸。真正的下一代防火墙需要对语音技术有更好的支持。这种支持不仅是网管的支持，还需要帮助语音通讯。比如很多语音使用UDP协议，语音发出的时候，在NAT的时候，要做2层封包，防火墙需要识别在封包解开前与之后。相当于一个防火墙把内部的电话作了NAT出去之后，对方接到电话后，还可以打回来，双向通讯，这个是防火墙最要求的。目前很多防火墙是单通的，外面打不进来。视频会议也有类似的问题，有些协议需要防火墙支持。因此，新一代防火墙需要对语音和视频提供很好的支持。这里面涉及到两次封装技术。语音发出之前，做了NET，通过防火墙的时候，再次NET，因此返回的时候，防火墙不能还原。有点类似FTP传数据，被动模式返回回来的时候，是一个高端端口。如果不是状态检测防火墙，无法识别对方回复端口号多少，因此会被防火墙挡住，Session不能建立。事实上，这个session是需要被动打开的。这就要求状态检测防火墙能够实现对应用层的识别。国外品牌，内网作net，也容易单通。必须对语音协议有了解，可以识别返回的包。 在视频上，会比语音好一些，一般都是单项。SKYPE好一些，目前VOIP单通情况常见。很多包回来以后，防火墙不认识了。JUNIPER有专门的配置菜单，对于常见协议有设置，包括针对于语音的攻击，新一代防火墙需要在应用层进行防御。利用语音协议本身的漏洞，对内网进行攻击。比如SIP或者H.323的漏洞，需要防火墙进行配置。 3．从性能的角度分析，新一代防火墙是否可以替代传统的防火墙+路由器+UTM的组合？
关键是看企业的规模，不能一概而论。不同企业的发展方向不同，需要根据企业的实际情况选择整合方案还是分布式方案。推荐给中小企业和分支机构整合方案，大企业和运营商不推荐，专品专用比较好。定义中小企业要考虑很多因素，包括用户数、并发连接数、各种应用，有些企业人数多，但是平时上网的人比较少。一般1000人同时上网作为一个点临界值，超过作为大企业，几百人中型企业。 4．对于热门的“网络准入控制”，是否会成为新一代防火墙的强项？传统的安全设备能否做到？
应该有这么一个支持的特性，很必要。准入控制包括第三层和第二层的准入，可能还有更高层准入。在第二层采取交换机或者无线等手段，包括802.1x，防火墙需要支持802.1x协议。另外，防火墙需要进行网络层的准入控制，包括进行身份认证。认证通过之后，用户比如要访问某一个服务器，用户才可以进行访问。以后可以向更高的方向发展，目前这两层的特征应该在新一代防火墙中体现出来。 在全网安全方案中，也可以实现一部分功能，作为准入控制的一个组成部分。今后用这一个设备就可以实现，客户端软件一定需要。可以用Active X进行触发，登陆的时候自动分发一个插件，自动安装，自动对主机进行检查，包括注册表完整、非法进程、非法端口、是否具备个人防火墙和防病毒软件，符合要求以后，在授权用户进入内网系统，这个也是准入机制的一个重要部分，这个称作端点安全控制与检查，杜绝外部不安全隐患。 5．IPv6会给现有安全设备造成哪些挑战？新一代防火墙能否满足其要求？
目前IPv6在现网上用的很少，主要还是实验网上做，以后大规模的推广还没有准确的时间。防火墙的兼容性已经开始对IPv6进行支持，但是目前不知道IPv6下具体的应用，所以目前都是支持IPv6的地址规划，对于日后的攻击行为，还难以准确判断。目前都是在网络层面上支持IPv6的地址互通。实验网都是考虑连通性，对于攻击的考虑很少。 6．新一代防火墙能否成为全网安全概念的一部分，或者说是一个有力的补充？
需要看使用对象和使用规模，各个方面进行判断。对于一个小企业，是可以当作核心的安全方案的；对于大型企业来说，新一代防火墙还是有不使用的地方。因为在启动新一代防火墙所有的功能之后，性能会有比较大的下降。很多大企业类似运营商，核心安全放在内部的一块，出口的地方还是以通为主。如果性能下降的太厉害，大企业难以接受。 7．新一代防火墙在其路由功能上的安全性如何？是否依然存在安全漏洞？在维护路由转发上面是否有所不同？
从协议设计来说，比较完善，漏洞比较少。在产品设计上，只要是软件，都会有漏洞，那个厂商都有。关键是要看如何处理漏洞和补丁，需要快；另外，还需要看产品的成熟期。一个产品的漏洞主要看是否成熟。JUNIPER的路由从96年到现在，已经非常好了。 在低端产品的情况下，路由和转发是一体的，性能自然会受到影响，但是维护起来比较简单，而且价格下降了。由于采用CPU架构，还可以提供很多的功能，配置也较为灵活。不过在高端产品中，路由和转发都是分离的单品设备。 8．新一代防火墙在安全模块与网络技术的结合中是否会遇到挑战？其市场定位在哪里？
如果当成普通防火墙去用，挑战很少。如果所有功能都开启，性能上会有问题。目前的芯片设计主要是在中小企业，核心的方面比较少。这是一个很实际的东西，如果防病毒的话，很消耗性能。特别是文件型病毒，必须要下载到缓存中去检查，如果是压缩包，还需要解压。 9．如何理解新一代防火墙和安全路由器的区别？芯片差异是最主要的问题么？
新一代防火墙的针对对象在低端，本身就是一个安全路由器，或者说是起基础上的东西，整合了更多的特点和功能。 10．希望能和读者分享的话
VISTA系统与安全厂商的问题
我们设计防病毒的时候，主要是在网关上进行，主要结合卡巴引擎和病毒库，解决HTTP、FTP、邮件方式，在文件传输的时候，进行网关处查杀，不是在终端上进行的。因此冲突不大。针对下载的时候，从防火墙通过的时候，进行防御。具体还需要考虑卡巴斯基对于微软的配合程度