防火墙何时消失

http://blog.chinaunix.net/uid-127037-id-2919450.html

 

本文档的Copyleft归yfydz所有，使用GPL发布，可以自由拷贝，转载，转载时请保持文档的完整性，严禁用于任何商业用途。
msn: yfydz_no1@hotmail.com
来源： http://yfydz.cublog.cn

防火墙出现比其他网络设备如路由器、交换机等晚不少时候，现在也已经是基本网络设备，但防火墙本身是依赖于网络漏洞而存在的设备，其消亡有应该比路由器、交换机要快得多。

 

防火墙的基本功能是访问限制，但对于网络层、传输层上的限制和攻击防御已经不是太消耗资源的检查，在边界路由器上已经可以使用这些功能，而既然交换机都可以作到3层的，再增加这些功能也不是太困难。随着硬件性能的增加而价格又不断下降，将状态检测功能也在交换机、路由器上实现这些是很可能的，而防火墙目前的各种网络功能，实际是更是路由器的强项，反正网络层传输层的应用应该是没有什么不能在路由器上拥有的。而且随着网络协议的完善，用IPv6取代IPv4，SCTP取代TCP，各种网络层、传输层的攻击手段已经很多在协议中就进行了弥补，自身的安全性已经得到了很大的提高，关键就是看这些协议何时升级了。

 

其实现在防火墙真正的访问控制重点已经转到了应用层上，通过对应用层数据的检测来实现更细粒的控制，但实现这种功能的前提是数据是明文的，对于加密数据就毫无能力了，如果以后网络数据都是加密的，防火墙的这个功能也就无用了。当然，要实现所有网络数据都是加密的还有很长一段路要走，在IPv4时代，明文数据可能会一直存在，虽然会有替代，如HTTPS替代HTTP，SSH替代TELNET等，但还是不能实现透明的加密操作，用户层还是知道是加密还是不加密。而真正实现透明加密的IPSec，却由于本身不是IPv4最初的设计部分，要应用需要另外添加成本而不可能全面应用；但对于IPv6，IPSec已经成了协议的基本组成部分，可以说一旦实现了IPv6栈一定要实现IPSec功能的，因此一旦IPv6普及，实现网络端对端全面通信数据加密的时代也就普及了，这时所有通信都被IPSec保护，这时防火墙作为网络中间设备是无法再分析这些数据内容，只能进行网络层IP地址级别的访问限制，因为看到的只是AH、ESP协议数据头（AH由于不加密，一般用AH时也用ESP），而这种控制用路由器就可以了，这时甚至不需要状态检测功能了。

 

综上所述，防火墙作为填补网络协议设计漏洞而出现的设备，随着网络协议发展和路由器、交换机功能的增强而不断受到夹击，生存空间会越来越小，即使现在把很多功能都塞进防火墙搞成所谓的UTM，也不能挽救其消亡的命运，本质上如果IPv4等这些漏洞协议消亡了，尤其是所有网络数据都进行加密保护的时候，防火墙也就没有存在的必要的，IPv6+IPSec将是防火墙的杀手，网络型IDS也是同样的下场，到那时候也有安全问题，但已经不是网络安全而是主机安全了。

 

(本文不考虑政治因素，有可能政治将使明文协议永远存在)