边界何在 -- 谈防火墙的防护趋势

传统防火墙技术的发展一直基于一种默认的假设：作为一种边界保护设备，它保护的对象是网络（一般是内部网络）及不同网络间的接入点。只要确保边界网络将可信网络完全包含在内，并排除旁路和后门，则部署在这条防御边界上的防火墙就可以监控所有内外通信流量，提供一夫当关，万夫莫开的有效保护。

但新的网络基础设施的使用，以及新型网络应用和新型网络计算模式的出现，对防火墙的保障能力提出了严峻的挑战，各种穿透防火墙的攻击和威胁形式层出不穷。国际安全领域权威人士在2003年就提出了“防火墙：一种过时的防御技术”的论题。

移动用户

在越来越多的应用环境中，用户需要从任何位置访问敏感数据、受限服务。边界网络中的防火墙只能通过认证程序或者其它一些机制来为移动用户提供保护。

内部威胁

防火墙设计的初衷在于保护内网不受外来攻击，因此默认内部网络为可信网络，这一设计原则已经不再适应当前的需要，来自于局域网内部的攻击或尝试性的危险动作已经成为网络安全的重要威胁。此外，如果可信网络中出现旁路，如允许拨号上网，那么内部主机通过电话线，就可绕过防火墙与不可信的因特网直接连接，使防火墙防御边界上出现漏洞。

       Active content

消息软件和Web浏览器上大量流行的Active X控件、JavaScript和其它一些活动内容（Active Content），给可信网络保护带来了挑战。这些控件或小程序的运行环境总被声称为安全无错的，但由于设计和开发的复杂性，实际上无法避免漏洞的产生和被恶意利用。

       IM与P2P应用

广泛应用的MSN等IM软件允许用户传播文本文件和数据文件，发送者将有机会在接收者的电脑上进行一些恶意行为。而在使用BT软件的P2P应用中，用户允许对等方进入自己的硬盘，复制共享特定文件。这些应用为通信和协议的两端提供了类似虚拟专用通道的方式来穿越防火墙，带来导致数据泄漏、病毒感染和后面程序的传播的隐患。

现实迫使人们进一步认识防火墙的本质，认清传统防火墙技术的局限性，寻找新的技术突破。问题的关键在于：需要保护的对象到底是什么？防火墙固守的安全防御边界究竟应该是怎样的形态？

传统观念中按照内外网区分可信区域与非可信区域，实际上是一种基于网络物理结构的划分方法，系统根据受保护主机的IP地址和网络环境的拓扑结构和来判断主机所属区域，防火墙根据数据包的源地址目的地址和其它一些信息，制订规则并实施访问控制机制。防火墙保护的是内部局域网，其安全边界就是局域网的物理边界。

我们真正需要保护的，是数据信息和控制能力，与由物理设备为对象组成的安全域不同，它们是以安全级别而非物理位置来标识，应此这种安全域必须被归结为一种逻辑上的概念。其边界也相应被称为“逻辑边界”。

安全域的物理边界与逻辑边界重合时，传统的基于物理边界的防火墙能较好地满足安全需求，一旦物理边界和逻辑边界发生偏离，即有数据信息或控制能力流动并穿越了物理边界，传统防火墙就不再能很好的满足安全防护需要了。要实现对敏感对象，即数据信息和控制能力的有效保护，防护边界必须始终贴合在逻辑边界上，也是防火墙设备应该部署的位置。

建立一套基于逻辑边界的安全保护机制，必须具备突破传统观念的创新思路、深入理解访问控制理论、安全模型理论、域间隔离机制和移动环境计算理论，准确把握现有网络应用模式本质上的安全需求，切合实际地提出一套高可用性的实现机制。这努力诚非易事，但确是在安全领域内的魔道之战中立于不败的必由之路。