DPI命運(yùn)如何
近期許多公司紛紛發(fā)表調(diào)查報(bào)告,報(bào)告里聲稱盡管現(xiàn)在特定于具體應(yīng)用的防火墻越來(lái)越多,但他們?nèi)匀粰z測(cè)到應(yīng)用層蠕蟲和病毒的數(shù)量正在不斷增加。這時(shí),帶有深度包檢測(cè)(Deep Packet Inspection, DPI)功能的防火墻成為了舌戰(zhàn)的焦點(diǎn)。我們知道,DPI功能將使得網(wǎng)絡(luò)管理員能夠配置數(shù)字位匹配模式用以匹配和鑒別特定的數(shù)據(jù)包。然而,恐怕這些防火墻廠商正在犯著十幾年前以太網(wǎng)網(wǎng)橋制造商就曾經(jīng)犯過(guò)的錯(cuò)誤。那時(shí)候,為了對(duì)抗路由器,網(wǎng)橋制造商引入了能按位模式來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)包的所謂智能網(wǎng)橋,他們宣稱這些智能網(wǎng)橋融合了路由器的優(yōu)點(diǎn)同時(shí)擯棄了路由器的缺點(diǎn)。也許他們說(shuō)的沒(méi)錯(cuò),但事實(shí)是,配置這些智能網(wǎng)橋的門檻實(shí)在太高了,如果你的腦袋沒(méi)有博士級(jí)別的智商,那恐怕你很難能有機(jī)會(huì)懂明白這些智能網(wǎng)橋的配置細(xì)節(jié)。
現(xiàn)在看來(lái)DPI的實(shí)現(xiàn)似乎避免不了與這些智能網(wǎng)橋相同的命運(yùn)。目前多數(shù)DPI引擎的缺省設(shè)置是不分青紅皂白就把所有外部數(shù)據(jù)通通拒之門外,因此表面上看起來(lái)好像確實(shí)提供了強(qiáng)有力的安全防護(hù),然而對(duì)管理員來(lái)說(shuō)真正的挑戰(zhàn)在于如何配置這些引擎使其具有識(shí)別數(shù)據(jù)的能力,如何可以讓它過(guò)濾掉那些無(wú)用或帶攻擊性的數(shù)據(jù)而只讓真正有用的數(shù)據(jù)進(jìn)來(lái),對(duì)很多防火墻管理員來(lái)說(shuō)這個(gè)任務(wù)顯得是否艱巨。
就算對(duì)那些經(jīng)驗(yàn)豐富腦筋靈光的工程師來(lái)說(shuō)這也是夠嗆的。nokia的產(chǎn)品概念工程師在談到DPI時(shí)直言“感覺(jué)不太好”,他說(shuō)“我們有一個(gè)內(nèi)部應(yīng)用需要用到防火墻,我最終把所謂的智能應(yīng)用(Check Point描述DPI引擎時(shí)所使用的術(shù)語(yǔ))給徹底關(guān)了,實(shí)在是礙手礙腳,它缺省把所有的數(shù)據(jù)都給擋住了,這不是添亂嘛。”
先把易用性放在一邊。很難想象通用防火墻軟件廠商能保證自己的軟件能夠?qū)崿F(xiàn)各種紛繁的IP語(yǔ)音(Voice over IP,VoIP)標(biāo)準(zhǔn)和協(xié)議。即使是那些做專業(yè)防火墻的公司在處理各種標(biāo)準(zhǔn)、RFC、VoIP相關(guān)的重要草案時(shí)也是相當(dāng)頭疼,所以通用防火墻公司很難象那些專用防火墻公司一樣又快又省地及時(shí)支持新標(biāo)準(zhǔn),更不用說(shuō)那些標(biāo)準(zhǔn)的擴(kuò)展了。
碰到這些情況網(wǎng)絡(luò)管理員該如何抉擇呢?對(duì)于通話量較低并且對(duì)IP電話要求比較簡(jiǎn)單的情況,升級(jí)通用防火墻加入DPI支持是個(gè)可行的方案。另一方面,對(duì)高通話量的情況,通常需要把VoIP數(shù)據(jù)轉(zhuǎn)移到專用的防火墻上,只有一種情況例外,就是如果防火墻軟件廠商和IP專用分組交換機(jī)(IP PBX)廠商在技術(shù)上有合作的話,可以做到讓通用DPI防火墻更好地支持IP PBX的特殊功能,那么通用防火墻也有可能可以應(yīng)付高通話量的要求。
部署專用安全設(shè)備可能可以比較快地解決問(wèn)題,提供所謂的“單項(xiàng)優(yōu)勢(shì)”(best-of-breed)安全防護(hù),但這也意味著你要管理和維護(hù)更多的專業(yè)設(shè)備,從長(zhǎng)期來(lái)看會(huì)造成成本的增加。雖然無(wú)法完全避免此類問(wèn)題,但如果網(wǎng)絡(luò)管理員能充分發(fā)揮聰明才智考慮那些支持安全管理平臺(tái)的安全設(shè)備的話是可以將影響降到最低的。
如果網(wǎng)絡(luò)管理員和防火墻廠商剛好是DPI的追隨者的話,應(yīng)該說(shuō)也還是很有盼頭的。基本上改進(jìn)DPI防火墻軟件人機(jī)交互和功能的方式有兩種,其一自然是通過(guò)內(nèi)部開發(fā)改進(jìn)完善,另一種就是通過(guò)收購(gòu)那些剛起步的專業(yè)防火墻軟件公司并融合他們的技術(shù)優(yōu)勢(shì)。
