防火墻技術(shù)的研究

摘要:防火墻是集包過(guò)濾技術(shù)、代理服務(wù)技術(shù)、入侵檢測(cè)技術(shù)等多種技術(shù)的安全平臺(tái)，是現(xiàn)代網(wǎng)絡(luò)安全防范的重要設(shè)備。該文針對(duì)各種主流防火墻體系結(jié)構(gòu)、應(yīng)用現(xiàn)狀及優(yōu)缺點(diǎn)比較，探討防火墻技術(shù)今后的發(fā)展方向。

關(guān)鍵詞:網(wǎng)絡(luò)安全;防火墻;應(yīng)用網(wǎng)關(guān)

中圖分類(lèi)號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)24-7053-03

Study on the Firewall Technology

LV Juan

(Information Management Department， Zhejiang Administrative Institute， Hangzhou 311121， China)

Abstract: firewall is security platform with several technologywhich is packet filtering technology， proxy service technology， intrusion detection technology .firewallis an importantdevicein modern securitynetwork. This article proposed a variety of mainstream firewall architecture， application and the advantages and disadvantages of firewall technology， and has carried on the discussion to the future direction of development.

Key words: network security; firewall; application gateway

網(wǎng)絡(luò)一般是基于TCP/IP協(xié)議并采用了Internet的通信標(biāo)準(zhǔn)和Web信息流通模式的Intranet，它具有開(kāi)放性，因而使用極其方便。但開(kāi)放性卻帶來(lái)了系統(tǒng)入侵、病毒入侵等安全性問(wèn)題。一旦安全問(wèn)題得不到很好地解決，就可能出現(xiàn)商業(yè)秘密泄漏、設(shè)備損壞、數(shù)據(jù)丟失、系統(tǒng)癱瘓等嚴(yán)重后果，因此需要一個(gè)更安全的網(wǎng)絡(luò)系統(tǒng)。

針對(duì)網(wǎng)絡(luò)存在的眾多隱患，各個(gè)用戶(hù)實(shí)施了安全防御措施，其中包括防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)、PKI技術(shù)等，但其中應(yīng)用最為廣泛、實(shí)用性最強(qiáng)、效果最好的就是防火墻技術(shù)。本文將就防火墻技術(shù)概況做個(gè)簡(jiǎn)要分析。

1 防火墻定義

“防火墻”是一種形象的說(shuō)法，其實(shí)它是一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的技術(shù)性措施，由計(jì)算機(jī)硬件和軟件的組合，在網(wǎng)絡(luò)邊界上通過(guò)建立起來(lái)的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò)，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)( scurity gateway)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶(hù)的侵入。實(shí)踐中最常見(jiàn)的防火墻關(guān)系模型可用圖1來(lái)概括，是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)隔開(kāi)的屏障。

在網(wǎng)絡(luò)中，防火墻還應(yīng)具備廣泛的服務(wù)支持的特性:如通過(guò)將動(dòng)態(tài)的、應(yīng)用層的過(guò)濾能力和認(rèn)證相結(jié)合，可實(shí)現(xiàn)WWW瀏覽器、HTTP服務(wù)器、 FTP等，滿足客戶(hù)端認(rèn)證只允許指定的用戶(hù)訪問(wèn)內(nèi)部網(wǎng)絡(luò)或選擇服務(wù)。

防火墻如果從實(shí)現(xiàn)方式上來(lái)分，可分為硬件防火墻和軟件防火墻兩類(lèi)，我們通常意義上講的硬防火墻為硬件防火墻，它是通過(guò)硬件和軟件的結(jié)合來(lái)達(dá)到隔離內(nèi)、外部網(wǎng)絡(luò)的目的，價(jià)格較貴，效果較好，一般應(yīng)用于大中型企事業(yè)單位。軟件防火墻通過(guò)純軟件的方式來(lái)實(shí)現(xiàn)對(duì)，價(jià)格便宜，但軟件防火墻只能通過(guò)一定的規(guī)則來(lái)達(dá)到限制一些非法用戶(hù)訪問(wèn)內(nèi)部網(wǎng)的目的，功能不全面。例如天網(wǎng)防火墻個(gè)人及企業(yè)版、Norton防火墻個(gè)人及企業(yè)版，還有許多殺病毒軟件目前已集成了軟件防火墻，如江民、瑞星、金山等。

2 防火墻分類(lèi)

2.1 技術(shù)上的分類(lèi)

硬件防火墻從技術(shù)上來(lái)分為包過(guò)濾型防火墻和應(yīng)用代理型防火墻。

包過(guò)濾型防火墻是作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)分組包頭源地址，目的地址和端口號(hào)、協(xié)議類(lèi)型等標(biāo)志確定是否允許數(shù)據(jù)包通過(guò)。只有滿足過(guò)濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。這種分組過(guò)濾技術(shù)公在網(wǎng)絡(luò)層和傳輸層起作用。隨著包過(guò)濾技術(shù)的發(fā)展，產(chǎn)生了狀態(tài)檢測(cè)包過(guò)濾技術(shù)。狀態(tài)檢測(cè)的包過(guò)濾利用狀態(tài)表跟蹤每一個(gè)網(wǎng)絡(luò)會(huì)話的狀態(tài)，對(duì)每一個(gè)包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會(huì)話所處的狀態(tài)，規(guī)范了網(wǎng)絡(luò)層和傳輸層行為，因而狀態(tài)檢測(cè)防火墻提供了更完整的對(duì)傳輸層的控制能力。

應(yīng)用代理型防火墻也叫應(yīng)用網(wǎng)關(guān)(Application Gateway)，它作用在應(yīng)用層，其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用服務(wù)編制專(zhuān)門(mén)的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專(zhuān)用工作站實(shí)現(xiàn)。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。同時(shí)也常結(jié)合入過(guò)濾器的功能。由于它工作在最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。包過(guò)濾防火墻的缺點(diǎn)和不足，可以在應(yīng)用層解決。

2.2 架構(gòu)上的分類(lèi)

硬件防火墻如果從架構(gòu)上來(lái)劃分可分為x86、ASIC、NP幾類(lèi)。

從性能的角度分析，基于Intel x86架構(gòu)的千兆防火墻，由于受CPU處理能力和PCI總線速度的制約，性能和功能不能達(dá)到網(wǎng)絡(luò)安全和網(wǎng)絡(luò)性能間的統(tǒng)一。從功能的角度分析，基于通用處理器的x86架構(gòu)上開(kāi)發(fā)的防火墻功能實(shí)用，可擴(kuò)充性非常好;基于ASIC的防火墻雖然在性能上非常強(qiáng)大，但是在功能性、靈活性和可擴(kuò)充性等方面較弱。

基于ASIC技術(shù)的防火墻是公認(rèn)的滿足千兆環(huán)境骨干級(jí)應(yīng)用的技術(shù)方案，可使防火墻達(dá)到線速千兆。采用ASIC技術(shù)可以為防火墻應(yīng)用設(shè)計(jì)專(zhuān)門(mén)的數(shù)據(jù)包處理流水線，優(yōu)化存儲(chǔ)器等資源的利用。但ASIC技術(shù)開(kāi)發(fā)成本高、開(kāi)發(fā)周期長(zhǎng)且難度大，而且ASIC技術(shù)在國(guó)外已經(jīng)歷了10多年的發(fā)展，而國(guó)內(nèi)廠商要采用ASIC技術(shù)難度卻很大。

網(wǎng)絡(luò)處理器(NP)是專(zhuān)門(mén)為處理數(shù)據(jù)包而設(shè)計(jì)的可編程處理器，它具有完全的可編程性、簡(jiǎn)單的編程模式、最大化系統(tǒng)靈活性、高處理能力、高度功能集成、開(kāi)放的編程接口以及第三方支持能力。它的特點(diǎn)是內(nèi)含了多個(gè)數(shù)據(jù)處理引擎，這些引擎可以并發(fā)進(jìn)行數(shù)據(jù)處理工作，在處理2到4層的分組數(shù)據(jù)上比通用處理器具有明顯的優(yōu)勢(shì)，能夠直接完成網(wǎng)絡(luò)數(shù)據(jù)處理的一般性任務(wù)。硬件體系結(jié)構(gòu)大多采用高速的接口技術(shù)和總線規(guī)范，具有較高的I/O能力，包處理能力得到了很大提升。從產(chǎn)品特性上講，NP架構(gòu)下的產(chǎn)品批量生產(chǎn)成本比x86架構(gòu)要高，而NP的計(jì)算能力又比ASIC要低。但NP防火墻具有更高的集成度，并以分布式的存儲(chǔ)系統(tǒng)，能夠勝任高帶寬的線速處理。基于網(wǎng)絡(luò)處理器架構(gòu)的防火墻與基于通用CPU架構(gòu)的防火墻相比，在性能上可以得到很大的提高。

3 防火墻系統(tǒng)優(yōu)缺點(diǎn)分析

防火墻作為一種防護(hù)手段，對(duì)維護(hù)網(wǎng)絡(luò)安全起到了一定的作用，但并非萬(wàn)無(wú)一失，它只能防護(hù)經(jīng)過(guò)自身的非法訪問(wèn)和攻擊;它雖然能夠針對(duì)所有服務(wù)進(jìn)行安全檢查，過(guò)濾其是否合法，但不能有效地杜絕所有惡意數(shù)據(jù)包，比如某些惡意訪問(wèn)可以通過(guò)內(nèi)部網(wǎng)某臺(tái)機(jī)器中的后門(mén)軟件繞過(guò)防火墻，利用合法的連接傳輸非法數(shù)據(jù)。防火墻還不能直接攔截帶病毒的數(shù)據(jù)在網(wǎng)絡(luò)之間傳播，對(duì)數(shù)據(jù)驅(qū)動(dòng)式攻擊也缺少防范識(shí)別能力。

3.1 包過(guò)濾防火墻優(yōu)缺點(diǎn)分析

包過(guò)濾防火墻是兩個(gè)網(wǎng)絡(luò)之間訪問(wèn)的唯一來(lái)源，它對(duì)每條傳入和傳出網(wǎng)絡(luò)的包實(shí)行低水平控制，每個(gè)IP包的字段都被檢查，例如源地址、目的地址、協(xié)議、端口等。防火墻將基于這些信息應(yīng)用過(guò)濾規(guī)則，可以識(shí)別和丟棄帶欺騙性源IP地址的包。由于包過(guò)濾技術(shù)是完全基于網(wǎng)絡(luò)層的安全的技術(shù)，無(wú)法識(shí)別基于應(yīng)用層的惡意侵入。

使用包過(guò)濾防火墻的缺點(diǎn)還包括:1) 配置困難。因?yàn)榘^(guò)濾防火墻很復(fù)雜，人們經(jīng)常會(huì)忽略建立一些必要的規(guī)則，或者錯(cuò)誤配置了已有的規(guī)則，這樣就留下了漏洞。2) 為特定服務(wù)開(kāi)放的端口必然存在著一定的受攻擊的風(fēng)險(xiǎn)，可能會(huì)被用于其他傳輸。比如Web服務(wù)器默認(rèn)的80端口。

3.2 狀態(tài)檢測(cè)防火墻優(yōu)缺點(diǎn)分析

狀態(tài)檢測(cè)防火墻由于采用了一系列優(yōu)化技術(shù)，狀態(tài)檢測(cè)包過(guò)濾的性能也明顯優(yōu)于簡(jiǎn)單包過(guò)濾產(chǎn)品，尤其是在一些規(guī)則復(fù)雜的大型網(wǎng)絡(luò)上。狀態(tài)檢測(cè)防火墻的缺點(diǎn)就是所有這些記錄、測(cè)試和分析工作可能會(huì)造成網(wǎng)絡(luò)連接的某種遲滯，特別是在同時(shí)有許多連接激活的時(shí)候，或者是有大量的過(guò)濾網(wǎng)絡(luò)通信的規(guī)則存在時(shí)。隨著硬件速度的發(fā)展，這個(gè)問(wèn)題就會(huì)變得不易察覺(jué)。

3.3 應(yīng)用代理防火墻優(yōu)缺點(diǎn)分析

應(yīng)用代理防火墻可以說(shuō)就是為防范應(yīng)用層攻擊而設(shè)計(jì)的，使用應(yīng)用程序代理防火墻的優(yōu)點(diǎn)有:1) 應(yīng)用網(wǎng)關(guān)代理的優(yōu)點(diǎn)是既可以隱藏內(nèi)部IP地址，也可以給單個(gè)用戶(hù)授權(quán)，即使攻擊者盜用了一個(gè)合法的IP地址，也通不過(guò)嚴(yán)格的身份認(rèn)證。2) 指定對(duì)連接的控制，例如允許或拒絕基于服務(wù)器IP地址的訪問(wèn)，或者是允許或拒絕基于用戶(hù)所請(qǐng)求連接的IP地址的訪問(wèn)。3) 通過(guò)限制某些協(xié)議的傳出請(qǐng)求，來(lái)減少網(wǎng)絡(luò)中不必要的服務(wù)。4) 大多數(shù)代理防火墻能夠記錄所有的連接，包括地址和持續(xù)時(shí)間。這些信息對(duì)追蹤攻擊和發(fā)生的未授權(quán)訪問(wèn)的事件事很有用的。

使用應(yīng)用程序代理防火墻的缺點(diǎn)有:1) 必須在一定范圍內(nèi)定制用戶(hù)的系統(tǒng)。2) 應(yīng)用網(wǎng)關(guān)的認(rèn)證要求使得應(yīng)用網(wǎng)關(guān)不透明，用戶(hù)每次連接都要受到認(rèn)證，這給用戶(hù)帶來(lái)許多不便。這種代理技術(shù)需要為每個(gè)應(yīng)用寫(xiě)專(zhuān)門(mén)的程序，但一些應(yīng)用程序根本就不支持代理連接。

4 防火墻技術(shù)結(jié)合與改進(jìn)

4.1 多級(jí)過(guò)濾技術(shù)

多級(jí)過(guò)濾技術(shù)是指防火墻采用多級(jí)過(guò)濾措施，并輔以鑒別手段。在分組過(guò)濾(網(wǎng)絡(luò)層)一級(jí)，過(guò)濾掉所有的源路由分組和假冒的IP源地址;在傳輸層一級(jí)，遵循過(guò)濾規(guī)則，過(guò)濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹(shù)包等;在應(yīng)用應(yīng)用層一級(jí)，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)Internet提供的所用通用服務(wù)，這種過(guò)濾技術(shù)在分層上非常清楚，每種過(guò)濾技術(shù)對(duì)應(yīng)于不同的網(wǎng)絡(luò)層。這是針對(duì)以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過(guò)濾技術(shù)，它可以彌補(bǔ)以上各種單獨(dú)過(guò)濾技術(shù)的不足。多級(jí)過(guò)濾技術(shù)防火墻結(jié)構(gòu)如圖2所示。

4.2 分布式防火墻

分布式防火墻與傳統(tǒng)的邊界防火墻不同，傳統(tǒng)防火墻由于被部署在網(wǎng)絡(luò)邊界而被稱(chēng)為邊界防火墻。許多越權(quán)訪問(wèn)來(lái)自于企業(yè)網(wǎng)內(nèi)部，邊界防火墻對(duì)于來(lái)自企業(yè)網(wǎng)內(nèi)部的攻擊顯得力不從心。分布式防火墻要負(fù)責(zé)對(duì)網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)之間的安全防護(hù)，所以“分布式防火墻”是一個(gè)完整的系統(tǒng)，而不是單一的產(chǎn)品。根據(jù)其所需完成的功能，分布式防火墻體系結(jié)構(gòu)包含有:網(wǎng)絡(luò)防火墻(Network Firewall)、主機(jī)防火墻(Host Firewall)、中心管理(Central Managerment)三大部分。分布式環(huán)境防火墻基于傳統(tǒng)防火墻技術(shù)，集中管理，分布防御，分布式防火墻由網(wǎng)絡(luò)安全管理平臺(tái)、邊界防火墻、內(nèi)部防火墻和主機(jī)防火墻agent組成，對(duì)廣義分布防火墻的管理必須是統(tǒng)一進(jìn)行的，中心管理是分布式防火墻系統(tǒng)的核心和重要特征之一。安全策略的分發(fā)及日志的匯總都是中心管理具備的功能。集中制定安全策略，由分布于網(wǎng)絡(luò)中的各個(gè)防火墻實(shí)施策略，系統(tǒng)管理工具將安全策略分布到每個(gè)主機(jī)，根據(jù)策略和加密校驗(yàn)認(rèn)證，由受保護(hù)的主機(jī)來(lái)決定接受或拒絕。這樣就使得網(wǎng)絡(luò)防火墻部署于內(nèi)部網(wǎng)與外部網(wǎng)之間以及內(nèi)網(wǎng)子網(wǎng)之間，把安全策略推廣延伸到每個(gè)網(wǎng)絡(luò)末端。分布式防火墻克服了操作系統(tǒng)所具有的已知及未知的安全漏洞。

4.3 入侵檢測(cè)系統(tǒng)

所謂“入侵檢測(cè)”，就是通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并對(duì)其進(jìn)行分析，以發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為或遭到襲擊的跡象。“入侵檢測(cè)系統(tǒng)(Intrusion Detection System， IDS)”主要是通過(guò)以下幾種活動(dòng)來(lái)完成的:1) 監(jiān)視、分析用戶(hù)及系統(tǒng)活動(dòng);2) 對(duì)系統(tǒng)配置和弱點(diǎn)進(jìn)行監(jiān)測(cè);3) 識(shí)別與已知的攻擊模式匹配的活動(dòng);4) 對(duì)異常活動(dòng)模式進(jìn)行統(tǒng)計(jì)分析;5) 評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性;6) 對(duì)操作系統(tǒng)進(jìn)行跟蹤管理，并識(shí)別用戶(hù)違反安全策略的行為。此外，有的入侵檢測(cè)系統(tǒng)還能夠自動(dòng)安裝廠商提供的安全補(bǔ)丁軟件，并自動(dòng)記錄有關(guān)入侵者的信息。

入侵檢測(cè)系統(tǒng)可以成為防火墻的有力補(bǔ)充，已被廣泛地與防火墻相結(jié)合應(yīng)用于重要網(wǎng)絡(luò)環(huán)境。由于可以記錄和禁止網(wǎng)絡(luò)活動(dòng)，所以入侵監(jiān)測(cè)系統(tǒng)是防火墻的延續(xù)。入侵檢測(cè)技術(shù)能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象，是一種用于檢測(cè)違反安全策略行為的技術(shù)。可以協(xié)同防火墻共同實(shí)時(shí)監(jiān)視著網(wǎng)絡(luò)中的不法行為。

入侵檢測(cè)從技術(shù)上可分為兩類(lèi):一種基于標(biāo)志，一種基于異常情況。對(duì)于基于標(biāo)識(shí)的檢測(cè)技術(shù)來(lái)說(shuō)，首先要定義違背安全策略的事件的特征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。檢測(cè)主要判別這類(lèi)特征是否在所收集到的數(shù)據(jù)中出現(xiàn)。此方法非常類(lèi)似殺毒軟件。基于異常的檢測(cè)技術(shù)則是先定義一組系統(tǒng)“正常”情況的數(shù)值，如CPU利用率、內(nèi)存利用率、文件校驗(yàn)和等，然后將系統(tǒng)運(yùn)行時(shí)的數(shù)值與所定義的“正常”情況比較，得出是否有被攻擊的跡象。這種檢測(cè)方式的關(guān)鍵在于如何定義所謂的“正常”情況。

4.4 入侵防御系統(tǒng)

入侵防御系統(tǒng)(IPS)是在應(yīng)用層的內(nèi)容檢測(cè)基礎(chǔ)上加上主動(dòng)響應(yīng)和過(guò)濾功能，其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS彌補(bǔ)了傳統(tǒng)的主流網(wǎng)絡(luò)安全技術(shù)不能完成更多內(nèi)容檢查的不足，傾向于提供主動(dòng)防護(hù)的特性填補(bǔ)了網(wǎng)絡(luò)安全產(chǎn)品中基于內(nèi)容的安全檢查的空白。IPS通過(guò)直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能，即通過(guò)一個(gè)網(wǎng)絡(luò)端口接收來(lái)自外部系統(tǒng)的流量，經(jīng)過(guò)檢查確認(rèn)不包含異常活動(dòng)或可疑內(nèi)容后，再通過(guò)另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中。這樣，有問(wèn)題的數(shù)據(jù)包，以及所有來(lái)自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在IPS設(shè)備中被徹底清除掉。它把檢測(cè)提升到了應(yīng)用層的檢測(cè)，相比于入侵檢測(cè)系統(tǒng)能夠起到較好的實(shí)時(shí)防護(hù)作用。

5 前景展望

防火墻只是整個(gè)網(wǎng)絡(luò)安全防護(hù)的一部分，一定要與其他的防護(hù)措施和技術(shù)，如密碼技術(shù)、訪問(wèn)控制、權(quán)限管理、病毒防治等綜合運(yùn)用才能解決內(nèi)部網(wǎng)安全問(wèn)題。

在防火墻體系結(jié)構(gòu)上的改進(jìn)上，防火墻必然要與加密和認(rèn)證技術(shù)、內(nèi)容檢測(cè)、攻擊檢測(cè)及其他一些手段相結(jié)合，集成了防火墻、VPN、IDS、防病毒、內(nèi)容過(guò)濾和流量控制等多項(xiàng)功能才能成為一個(gè)安全網(wǎng)關(guān)。主流的運(yùn)用趨勢(shì)是防火墻與入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)相結(jié)合，入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)也必將在速度上和智能化上有更大的進(jìn)步，突破性能瓶頸，減少誤報(bào)和漏報(bào)現(xiàn)象。

從速度發(fā)展上來(lái)看，基于軟件的防火墻是很大程度上依賴(lài)于軟件的性能，但隨著近來(lái)這類(lèi)防火墻中專(zhuān)門(mén)設(shè)計(jì)有一些用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負(fù)擔(dān)，性能上已在不斷提升。基于ASIC的純硬件防火墻處理速度自然是越來(lái)越快，但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性。基于ASIC的防火墻會(huì)使用專(zhuān)門(mén)的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比起前兩種類(lèi)型的防火墻具有更好的性能。基于NP的防火墻可以集x86架構(gòu)防火墻的功能與ASIC防火墻的性能于一身。網(wǎng)絡(luò)處理器能彌補(bǔ)通用CPU架構(gòu)性能的不足，同時(shí)又不需要具備開(kāi)發(fā)基于ASIC技術(shù)的防火墻所需要的大量資金和技術(shù)積累，成為國(guó)內(nèi)廠商實(shí)現(xiàn)高端千兆防火墻的熱門(mén)選擇。在高端千兆市場(chǎng)，基于NP的防火墻將是重要的趨勢(shì)。三種架構(gòu)防火墻在市場(chǎng)上將長(zhǎng)期保持共存的局面。在低端千兆市場(chǎng)上，x86架構(gòu)的防火墻將成為主流，在高端千兆市場(chǎng)上，基于NP的防火墻將占有較好的份額。

防火墻的系統(tǒng)管理上的發(fā)展趨勢(shì)將主要體現(xiàn)在以下幾方面:首先是集中式管理，分布式和分層的安全結(jié)構(gòu)會(huì)是將來(lái)的趨勢(shì)。其次是強(qiáng)大的審計(jì)功能和自動(dòng)日志分析功能。這兩點(diǎn)的應(yīng)用可以更早地發(fā)現(xiàn)潛在的威脅并預(yù)防攻擊的發(fā)生。日志功能還可以管理員有效地發(fā)現(xiàn)系統(tǒng)中存的安全漏洞，及時(shí)地調(diào)整安全策略等各方面管理具有非常大的幫助。再次是網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化和集成化，管理上將適用于大多數(shù)用戶(hù)，易用性更高。

入侵檢測(cè)和防御系統(tǒng)將會(huì)在智能化和分布式兩個(gè)方向上得到更快的發(fā)展，更好地為重要網(wǎng)絡(luò)的安全保障提供服務(wù)。

6 結(jié)束語(yǔ)

防火墻技術(shù)在網(wǎng)絡(luò)安全中的重要性，誰(shuí)都無(wú)法代替。本文針對(duì)各種主流防火墻體系結(jié)構(gòu)、應(yīng)用現(xiàn)狀及優(yōu)缺點(diǎn)比較以及防火墻前期發(fā)展趨勢(shì)，更深刻了解防火墻。讓防火墻更好地為重要的網(wǎng)絡(luò)安全保障提供服務(wù)。

參考文獻(xiàn):

[1] 計(jì)算機(jī)世界.2002年合訂本[M].

[2] 科瑞奧.Snort入侵檢測(cè)實(shí)用解決方案[M].北京:機(jī)械工業(yè)出版社，2005.

[3] Carasik H A.防火墻核心技術(shù)精解[M].李華颶，譯.北京:中國(guó)水利水電出版社，2005.

[4] 陳興實(shí)，付東陽(yáng).計(jì)算機(jī).計(jì)算機(jī)犯罪.計(jì)算機(jī)犯罪的對(duì)策[M].北京:中國(guó)檢察出版社，1998.

[5] Kurose J F.計(jì)算機(jī)網(wǎng)絡(luò):自頂向下方法與INTERNET特色[M].陳鳴，譯.3版.北京:機(jī)械工業(yè)出版社，2006.

[6] PC World中國(guó)網(wǎng)[EB/OL].http://www.pcworld.com.cn.

[7] 硅谷動(dòng)力[EB/OL].http://www.enet.com.cn.