DPI命運(yùn)如何
近期許多公司紛紛發(fā)表調(diào)查報(bào)告,報(bào)告里聲稱(chēng)盡管現(xiàn)在特定于具體應(yīng)用的防火墻越來(lái)越多,但他們?nèi)匀粰z測(cè)到應(yīng)用層蠕蟲(chóng)和病毒的數(shù)量正在不斷增加。這時(shí),帶有深度包檢測(cè)(Deep Packet Inspection, DPI)功能的防火墻成為了舌戰(zhàn)的焦點(diǎn)。我們知道,DPI功能將使得網(wǎng)絡(luò)管理員能夠配置數(shù)字位匹配模式用以匹配和鑒別特定的數(shù)據(jù)包。然而,恐怕這些防火墻廠商正在犯著十幾年前以太網(wǎng)網(wǎng)橋制造商就曾經(jīng)犯過(guò)的錯(cuò)誤。那時(shí)候,為了對(duì)抗路由器,網(wǎng)橋制造商引入了能按位模式來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)包的所謂智能網(wǎng)橋,他們宣稱(chēng)這些智能網(wǎng)橋融合了路由器的優(yōu)點(diǎn)同時(shí)擯棄了路由器的缺點(diǎn)。也許他們說(shuō)的沒(méi)錯(cuò),但事實(shí)是,配置這些智能網(wǎng)橋的門(mén)檻實(shí)在太高了,如果你的腦袋沒(méi)有博士級(jí)別的智商,那恐怕你很難能有機(jī)會(huì)懂明白這些智能網(wǎng)橋的配置細(xì)節(jié)。
現(xiàn)在看來(lái)DPI的實(shí)現(xiàn)似乎避免不了與這些智能網(wǎng)橋相同的命運(yùn)。目前多數(shù)DPI引擎的缺省設(shè)置是不分青紅皂白就把所有外部數(shù)據(jù)通通拒之門(mén)外,因此表面上看起來(lái)好像確實(shí)提供了強(qiáng)有力的安全防護(hù),然而對(duì)管理員來(lái)說(shuō)真正的挑戰(zhàn)在于如何配置這些引擎使其具有識(shí)別數(shù)據(jù)的能力,如何可以讓它過(guò)濾掉那些無(wú)用或帶攻擊性的數(shù)據(jù)而只讓真正有用的數(shù)據(jù)進(jìn)來(lái),對(duì)很多防火墻管理員來(lái)說(shuō)這個(gè)任務(wù)顯得是否艱巨。
就算對(duì)那些經(jīng)驗(yàn)豐富腦筋靈光的工程師來(lái)說(shuō)這也是夠嗆的。nokia的產(chǎn)品概念工程師在談到DPI時(shí)直言“感覺(jué)不太好”,他說(shuō)“我們有一個(gè)內(nèi)部應(yīng)用需要用到防火墻,我最終把所謂的智能應(yīng)用(Check Point描述DPI引擎時(shí)所使用的術(shù)語(yǔ))給徹底關(guān)了,實(shí)在是礙手礙腳,它缺省把所有的數(shù)據(jù)都給擋住了,這不是添亂嘛。”
先把易用性放在一邊。很難想象通用防火墻軟件廠商能保證自己的軟件能夠?qū)崿F(xiàn)各種紛繁的IP語(yǔ)音(Voice over IP,VoIP)標(biāo)準(zhǔn)和協(xié)議。即使是那些做專(zhuān)業(yè)防火墻的公司在處理各種標(biāo)準(zhǔn)、RFC、VoIP相關(guān)的重要草案時(shí)也是相當(dāng)頭疼,所以通用防火墻公司很難象那些專(zhuān)用防火墻公司一樣又快又省地及時(shí)支持新標(biāo)準(zhǔn),更不用說(shuō)那些標(biāo)準(zhǔn)的擴(kuò)展了。
碰到這些情況網(wǎng)絡(luò)管理員該如何抉擇呢?對(duì)于通話量較低并且對(duì)IP電話要求比較簡(jiǎn)單的情況,升級(jí)通用防火墻加入DPI支持是個(gè)可行的方案。另一方面,對(duì)高通話量的情況,通常需要把VoIP數(shù)據(jù)轉(zhuǎn)移到專(zhuān)用的防火墻上,只有一種情況例外,就是如果防火墻軟件廠商和IP專(zhuān)用分組交換機(jī)(IP PBX)廠商在技術(shù)上有合作的話,可以做到讓通用DPI防火墻更好地支持IP PBX的特殊功能,那么通用防火墻也有可能可以應(yīng)付高通話量的要求。
部署專(zhuān)用安全設(shè)備可能可以比較快地解決問(wèn)題,提供所謂的“單項(xiàng)優(yōu)勢(shì)”(best-of-breed)安全防護(hù),但這也意味著你要管理和維護(hù)更多的專(zhuān)業(yè)設(shè)備,從長(zhǎng)期來(lái)看會(huì)造成成本的增加。雖然無(wú)法完全避免此類(lèi)問(wèn)題,但如果網(wǎng)絡(luò)管理員能充分發(fā)揮聰明才智考慮那些支持安全管理平臺(tái)的安全設(shè)備的話是可以將影響降到最低的。
如果網(wǎng)絡(luò)管理員和防火墻廠商剛好是DPI的追隨者的話,應(yīng)該說(shuō)也還是很有盼頭的。基本上改進(jìn)DPI防火墻軟件人機(jī)交互和功能的方式有兩種,其一自然是通過(guò)內(nèi)部開(kāi)發(fā)改進(jìn)完善,另一種就是通過(guò)收購(gòu)那些剛起步的專(zhuān)業(yè)防火墻軟件公司并融合他們的技術(shù)優(yōu)勢(shì)。
