防火墻未來的技術發展趨勢

隨著新的網絡攻擊的出現，防火墻技術也有一些新的發展趨勢。這主要可以從包過濾技術、防火墻體系結構和防火墻系統管理三方面來體現。

1. 防火墻包過濾技術發展趨勢

（1）. 一些防火墻廠商把在AAA系統上運用的用戶認證及其服務擴展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網絡應用中非常必要。具有用戶身份驗證的防火墻通常是采用應用級網關技術的，包過濾技術的防火墻不具有。用戶身份驗證功能越強，它的安全級別越高，但它給網絡通信帶來的負面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗證。

（2）. 多級過濾技術

所謂多級過濾技術，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾（網絡層）一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規則，過濾掉所有禁止出或/和入的協議和有害數據包如nuke包、圣誕樹包等；在應用網關（應用層）一級，能利用FTP、SMTP等各種網關，控制和監測Internet提供的所用通用服務。這是針對以上各種已有防火墻技術的不足而產生的一種綜合型過濾技術，它可以彌補以上各種單獨過濾技術的不足。

這種過濾技術在分層上非常清楚，每種過濾技術對應于不同的網絡層，從這個概念出發，又有很多內容可以擴展，為將來的防火墻技術發展打下基礎。

（3）. 使防火墻具有病毒防護功能。現在通常被稱之為病毒防火墻，當然目前主要還是在個人防火墻中體現，因為它是純軟件形式，更容易實現。這種防火墻技術可以有效地防止病毒在網絡中的傳播，比等待攻擊的發生更加積極。擁有病毒防護功能的防火墻可以大大減少公司的損失。

2. 防火墻的體系結構發展趨勢

隨著網絡應用的增加，對網絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數據。另外，在以后幾年里，多媒體應用將會越來越普遍，它要求數據穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發了基于ASIC的防火墻和基于網絡處理器的防火墻。從執行速度的角度看來，基于網絡處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數據層面任務的引擎，從而減輕了CPU的負擔，該類防火墻的性能要比傳統防火墻的性能好許多。

與基于ASIC的純硬件防火墻相比，基于網絡處理器的防火墻具有軟件色彩，因而更加具有靈活性。基于ASIC的防火墻使用專門的硬件處理網絡數據流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。

3. 防火墻的系統管理發展趨勢

防火墻的系統管理也有一些發展趨勢，主要體現在以下幾個方面：

（1）. 首先是集中式管理，分布式和分層的安全結構是將來的趨勢。集中式管理可以降低管理成本，并保證在大型網絡中安全策略的一致性。快速響應和快速防御也要求采用集中式管理系統。目前這種分布式防火墻早已在Cisco（思科）、3Com等大的網絡設備開發商中開發成功，也就是目前所稱的分布式防火墻和嵌入式防火墻。關于這一新技術在本篇下面將詳細介紹。

（2）. 強大的審計功能和自動日志分析功能。這兩點的應用可以更早地發現潛在的威脅并預防攻擊的發生。日志功能還可以管理員有效地發現系統中存的安全漏洞，及時地調整安全策略等各方面管理具有非常大的幫助。不過具有這種功能的防火墻通常是比較高級的，早期的靜態包過濾防火墻是不具有的。

（3）. 網絡安全產品的系統化

隨著網絡安全技術的發展，現在有一種提法，叫做建立以防火墻為核心的網絡安全體系。因為我們在現實中發現，僅現有的防火墻技術難以滿足當前網絡安全需求。通過建立一個以防火墻為核心的安全體系，就可以為內部網絡系統部署多道安全防線，各種安全技術各司其職，從各方面防御外來入侵。

如現在的IDS設備就能很好地與防火墻一起聯合。一般情況下，為了確保系統的通信性能不受安全設備的影響太大，IDS設備不能像防火墻一樣置于網絡入口處，只能置于旁路位置。而在實際使用中，IDS的任務往往不僅在于檢測，很多時候在IDS發現入侵行為以后，也需要IDS本身對入侵及時遏止。顯然，要讓處于旁路偵聽的IDS完成這個任務又太難為，同時主鏈路又不能串接太多類似設備。在這種情況下，如果防火墻能和IDS、病毒檢測等相關安全產品聯合起來，充分發揮各自的長處，協同配合，共同建立一個有效的安全防范體系，那么系統網絡的安全性就能得以明顯提升。

目前主要有兩種解決辦法：一種是直接把IDS、病毒檢測部分直接做到防火墻中，使防火墻具有IDS和病毒檢測設備的功能；另一種是各個產品分立，通過某種通訊方式形成一個整體，一旦發現安全事件，則立即通知防火墻，由防火墻完成過濾和報告。目前更看重后一種方案，因為它實現方式較前一種容易許多。

三、分布式防火墻技術

在前面已提到一種新的防火墻技術，即分布式防火墻技術已在逐漸興起，并在國外一些大的網絡設備開發商中得到了實現，由于其優越的安全防護體系，符合未來的發展趨勢，所以這一技術一出現便得到許多用戶的認可和接受。下面我們就來介紹一下這種新型的防火墻技術。

因為傳統的防火墻設置在網絡邊界，外于內、外部互聯網之間，所以稱為邊界防火墻（Perimeter Firewall）。隨著人們對網絡安全防護要求的提高，邊界防火墻明顯感覺到力不從心，因為給網絡帶來安全威脅的不僅是外部網絡，更多的是來自內部網絡。但邊界防火墻無法對內部網絡實現有效地保護，除非對每一臺主機都安裝防火墻，這是不可能的。基于此，一種新型的防火墻技術，分布式防火墻（Distributed Firewalls）技術產生了。它可以很好地解決邊界防火墻以上的不足，當然不是為每對路主機安裝防火墻，而是把防火墻的安全防護系統延伸到網絡中各對臺主機。一方面有效地保證了用戶的投資不會很高，另一方面給網絡所帶來的安全防護是非常全面的。

我們都知道，傳統邊界防火墻用于限制被保護企業內部網絡與外部網絡（通常是互聯網）之間相互進行信息存取、傳遞操作，它所處的位置在內部網絡與外部網絡之間。實際上，所有以前出現的各種不同類型的防火墻，從簡單的包過濾在應用層代理以至自適應代理，都是基于一個共同的假設，那就是防火墻把內部網絡一端的用戶看成是可信任的，而外部網絡一端的用戶則都被作為潛在的攻擊者來對待。而分布式防火墻是一種主機駐留式的安全系統，它是以主機為保護對象，它的設計理念是主機以外的任何用戶訪問都是不可信任的，都需要進行過濾。當然在實際應用中，也不是要求對網絡中每對臺主機都安裝這樣的系統，這樣會嚴重影響網絡的通信性能。它通常用于保護企業網絡中的關鍵結點服務器、數據及工作站免受非法入侵的破壞

標簽：防火墻趨勢未來