防火墻的現(xiàn)狀與發(fā)展趨勢分析

網(wǎng)絡安全涉及到通信和網(wǎng)絡、密碼學、芯片、操作系統(tǒng)、數(shù)據(jù)庫等多方面技術。目前的網(wǎng)絡安全產(chǎn)品，主要分為以下幾類：3A類產(chǎn)品、安全操作系統(tǒng)、安全隔離與信息交換系統(tǒng)、安全WEB、反病毒產(chǎn)品、IDS和弱點評估產(chǎn)品、防火墻、VPN、保密機、PKI等。其中，防火墻是網(wǎng)絡安全的第一道屏障，所占市場，安全技術也比較成熟。下面就防火墻的現(xiàn)狀與發(fā)展趨勢作重點闡述。
    防火墻的功能
    從防火墻的功能來說，主要包含以下幾個方面：訪問控制，如應用ACL進行訪問控制；攻擊防范，如防止 SYN FLOOD 等； NAT; VPN ；路由；認證和加密；日志記錄；支持網(wǎng)管等。
    為了滿足多樣化的組網(wǎng)需求，降低用戶對其它專用設備的需求，減少用戶建網(wǎng)成本，防火墻上也常常把其它網(wǎng)絡技術結合進來，例如支持 DHCP SERVER ， DHCP RELAY;支持動態(tài)路由，如RIP，OSPF等；支持撥號， PPPOE 等特性；支持廣域網(wǎng)口；支持透明模式(橋模式)；支持內(nèi)容過濾(如URL過濾)、防病毒和IDS等功能。
    防火墻的發(fā)展，經(jīng)歷了從早期的簡單濾，到今天廣泛應用的狀態(tài)濾技術和應用代理。其中狀態(tài)濾技術因為其安全性較好，速度快，得到最廣泛的應用。
    應用代理雖然安全性更好，但它需要針對每一種協(xié)議開發(fā)特定的代理協(xié)議，對應用的支持不夠好。但關鍵的是，它的性能比較差，從國外公開的防火墻測試報告來看，代理防火墻性能表現(xiàn)比較差，因此在網(wǎng)絡帶寬迅猛發(fā)展的情況下，已經(jīng)不能完全滿足需要。
    此外，有的防火墻支持SOCK代理，這種代理屏蔽了協(xié)議本身，只要客戶端支持SOCK代理，該應用在防火墻上就可以穿越。這種代理對于部分不公開的協(xié)議，如QQ的語音和視頻協(xié)議，采用其它技術，在NAT情況下很難實現(xiàn)對該協(xié)議的支持，但QQ軟件本身支持SOCK代理，如果防火墻支持SOCK代理協(xié)議，就可以實現(xiàn)對防火墻的穿越。但對于防火墻而言，不參與協(xié)議解碼，也意味著防火墻對該協(xié)議失去了監(jiān)測能力。
    狀態(tài)檢測技術
    狀態(tài)檢測技術要監(jiān)視每個連接發(fā)起到結束的全過程，對于部分協(xié)議，如FTP、 H.323等協(xié)議，是有狀態(tài)的協(xié)議，防火墻必須對這些協(xié)議進行分析，以便知道什么時候，從哪個方向允許特定的連接進入和關閉。
    狀態(tài)防火墻可以對特定的協(xié)議進行解碼，因此安全性也比較好。有的防火墻可以對FTP、SMTP等有害命令進行檢測和過濾，但因為在應用層解碼分析，處理速度比較慢，為此，有的防火墻采用自適應方式，因此處理速度很快。
    狀態(tài)防火墻還有一個特色是，當檢測到SYN FLOOD攻擊時，會啟動代理。此時，如果是偽造源IP的會話，因為不能完成三層握手，攻擊報文就無法到達服務器，但正常訪問的報文仍然可達。