防火墙被认为是必备的网络安全产品,但是Jericho论坛却在呼吁拆除老的防火墙以及边界代理,当然,他们听到了不少的反对声音。
不可能完成的使命?
10多年来,防火墙一直守卫在企业网络边界,阻止Internet带来的危险。但是,聚集在Jericho论坛(该组织的名字涉及圣经中提到的会在号声中神奇倒塌的城墙)旗帜下的数量越来越多的安全经理,打算让这位忠诚的“卫士”退休,原因是他们认为它妨碍了电子商务。
但是,由分析师、企业安全经理和防火墙厂商(这点毫不奇怪)组成的同样引人注目的阵营则反对Jericho论坛的观点。
Gartner分析师John Pescatore在最近举办的主题为网络安全的未来的IT安全峰会上发言谈到上述观点时说:“边界将会消失?这是胡扯。”他说:“我们认为人们在服务器周围建立的安全边界防线今天变得更加至关重要。边界防线不能拆除,它的重要性在未来不会降低。”
Pescatore认为,一个基本的需要是:网络必须奖励好的传输流,抑制可疑的或未知的传输流,这意味着控制边界比以往更重要。
Jericho论坛在着手进行定义一种新安全架构的工作。该论坛呼吁拆除老的防火墙以及边界代理,这是一个可能在几年时间里完成的“拆除边界”的过程。论坛80多家成员(包括Barclays Bank、Boeing和Eli Lilly)的使命是使IT行业意识到需要一种让控制深深进入内联网内部的新型访问控制和数据完整性产品。
Jericho论坛拆除传统的边界防火墙但仍保持安全性的追求,让一些人感到是一项不可能完成的使命。
BG Group移动领域经理Nigel Fletcher说:“目前不存在另一种选择,我对未来是否出现这种选择也表示怀疑。让这种事情发生需要信仰的大飞跃。” BG Group是英国一家拥有6千名雇员的石油天然气公司,在世界不同地方设有办事处和勘探点。
防火墙市场领先厂商Check Point软件公司对抛弃防火墙的想法嗤之以鼻。
Check Point公司市场情报主管Andy Singer说:“首先,我们使用‘边界安全网关’一词。防火墙是一种打开和关闭端口的特性。现在有很多可以添加到网关上的东西,如VPN或入侵防御。”
Singer对论坛在“让来自世界各地的人们谈论10到20年后安全性将如何(一般不会发生)”所作出的努力表示赞赏。但是,他说他们的想法没有意义。
Singer说,边界作为一种安全概念“将不会消失。”他指出防火墙技术的发展已经超越了网络级产品的范围,开始包括可以检测穿过80端口的基于HTTP的传输流的应用层保护。
尽管论坛说VoIP传输流的增长进一步造成防火墙使用情况的复杂化,但Singer认为这种担心是毫无根据的。他强烈要求Jericho论坛进行进一步的研究,给边界网关一个机会。
