防火墙技术的现状与展望

毕业论文论文标题作者姓名工作单位通信地址指导教师完成时间考号职务邮编职称

防火墙技术的现状与展望

【内容摘要】

随着计算机技术和通讯技术的迅速发展,特别是Internet的出现,使网络的重要性和社会的影响越来越大,网络安全问题也变得越来越重要。防火墙技术作为一种隔离内部安全网络与外部不信任网络的防御技术，已经成为计算机网络安全体系结构中的一个重要组成部分。随着互联网的迅猛发展，为了满足新的网络安全形势的需要，防火墙技术也在不断地更新发展，以提供更加高速、系统、功能多样化的安全保障。本文从防火墙技术的发展现状出发，对防火墙技术的下一步走向和发展趋势进行了展望。

【关键字】防火墙技术 计算机网络 网络安全 发展现状 展望

1. 引言

防火墙是防范网络攻击最常用的方法，从技术理论上看，如今的防火墙经过了多年的不断改进,已经成为一种先进和复杂的基于应用层的网关，不仅能完成传统防火墙的过滤任务，同时也能够针对各种网络应用提供相应的安全服务。防火墙技术的基本思想是限制网络访问，它把网络分为两个部分：外部网络和受保护网络(内部网络)。相比企业而言，外部网络一般指的是Internet，而受保护网络一般指企业自己建立的Internet 防火墙,放在受保护网络和外部网络之间,如下图图1所示

图1 防火墙示意图

防火墙一方面限制外部网络访问受保护网络，对外屏蔽受保护网络的实现细节，保证数据的安全，另一方面限制受保护网络对外部网络的访问，防止不良信息的获取部分，减少信息的泄露。

防火墙就是用来隔离受保护的网络和不受保护的网络（如因特网），通过单一集中的安全检查点，审查并过滤所有从因特网到受保护网络的连接。防火墙（阻塞类防火墙）可以确保除非通过检查点的审查，否则你从网中将不能直接到达因

特网。

2. 防火墙技术的发展现状

防火墙技术经历了包过滤、应用代理网关、再到状态检测三个阶段。

2.1 包过滤技术

包过滤是一种内置于Linux内核路由功能之上的防火墙类型，其防火墙工作在网络层，对数据包的源及目地 IP 具有识别和控制作用，对于传输层，也只能识别数据包是 TCP 还是 UDP 及所用的端口信息，如表1所示。

表1 一些常用网络服务和使用的端口

包过滤技术(IP Filtering or packet filtering) 的原理在于利用路由器监视并过滤网络上流入流出的IP包，拒绝发送可疑的包。由于Internet 与Intranet 的连接多数都要使用路由器，所以Router成为内外通信的必经端口，Router的厂商在Router上加入IP 过滤功能，过滤路由器也可以称作包过滤路由器或筛选路由器（Packet Filter Router）。防火墙常常就是这样一个具备包过滤功能的简单路由器，这种Firewall应该是足够安全的，但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的，因而在安全要求较高的

场合，通常还配合使用其它的技术来加强安全性。

常用的优秀的个人防火墙有Norman Personal Firewall、天网防火墙等 现在的路由器、 Switch Router 以及某些操作系统已经具有用 Packet Filter 控制的能力。 由于只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析，包过滤防火墙的处理速度较快，并且易于配置。 包过滤防火墙具有根本的缺陷：

(1) 不能防范黑客攻击

包过滤防火墙的工作基于一个前提，就是网管知道哪些 IP 是可信网络，哪些是不可信网络的 IP 地址。但是随着远程办公等新应用的出现，网管不可能区分出可信网络与不可信网络的界限，对于黑客来说，只需将源 IP 包改成合法 IP 即可轻松通过包过滤防火墙，进入内网，而任何一个初级水平的黑客都能进行 IP 地址欺骗。

(2) 不支持应用层协议

假如内网用户提出这样一个需求，只允许内网员工访问外网的网页（使用 HTTP 协议），不允许去外网下载电影（一般使用 FTP 协议）。包过滤防火墙无能为力，因为它不认识数据包中的应用层协议，访问控制粒度太粗糙。

(3) 不能处理新的安全威胁

它不能跟踪 TCP 状态，所以对 TCP 层的控制有漏洞。如当它配置了仅允许从内到外的 TCP 访问时，一些以 TCP 应答包的形式从外部对内网进行的攻击仍可以穿透防火墙。

综上可见，包过滤防火墙技术面太过初级，就好比一位保安只能根据访客来自哪个省市来判断是否允许他（她）进入一样，难以履行保护内网安全的职责。

2.2 应用代理网关技术

由于包过滤技术无法提供完善的数据保护措施，而且一些特殊的报文攻击仅仅使用过滤的方法并不能消除危害（如SYN攻击、ICMP洪水等），因此人们需要一种更全面的防火墙保护技术，在这样的需求背景下，采用“应用代理”（Application Proxy）技术的防火墙诞生了。代理服务器作为一个为用户保密或者突破访问限制的数据转发通道，在网络上应用广泛。我们都知道，一个完整的代理设备包含一个服务端和客户端，服务端接收来自用户的请求，调用自身的客户端模拟一个基于用户请求的连接到目标服务器，再把目标服务器返回的数据转发给用户，完成一次代理工作过程。那么，如果在一台代理设备的服务端和客户端之间连接一个过滤措施呢？这样的思想便造就了“应用代理”防火墙，这种防火墙实际上就是一台小型的带有数据检测过滤功能的透明代理服务器（Transparent Proxy），但是它并不是单纯的在一个代理设备中嵌入包过滤技

术，而是一种被称为“应用协议分析”（Application Protocol Analysis）的新技术。

“应用协议分析”技术工作在OSI模型的最高层——应用层上，在这一层里能接触到的所有数据都是最终形式，也就是说，防火墙“看到”的数据和我们看到的是一样的，而不是一个个带着地址端口协议等原始内容的数据包，因而它可以实现更高级的数据检测过程。整个代理防火墙把自身映射为一条透明线路，在用户方面和外界线路看来，它们之间的连接并没有任何阻碍，但是这个连接的数据收发实际上是经过了代理防火墙转向的，当外界数据进入代理防火墙的客户端时，“应用协议分析”模块便根据应用层协议处理这个数据，通过预置的处理规则（没错，又是规则，防火墙离不开规则）查询这个数据是否带有危害，由于这一层面对的已经不再是组合有限的报文协议，甚至可以识别类似于“GET /sql.asp?id=1 and 1”的数据内容，所以防火墙不仅能根据数据层提供的信息判断数据，更能像管理员分析服务器日志那样“看”内容辨危害。而且由于工作在应用层，防火墙还可以实现双向限制，在过滤外部网络有害数据的同时也监控着内部网络的信息，管理员可以配置防火墙实现一个身份验证和连接时限的功能，进一步防止内部网络信息泄漏的隐患。最后，由于代理防火墙采取是代理机制进行工作，内外部网络之间的通信都需先经过代理服务器审核，通过后再由代理服务器连接，根本没有给分隔在内外部网络两边的计算机直接会话的机会，可以避免入侵者使用“数据驱动”攻击方式（一种能通过包过滤技术防火墙规则的数据报文，但是当它进入计算机处理后，却变成能够修改系统设置和用户数据的恶意代码）渗透内部网络，可以说，“应用代理”是比包过滤技术更完善的防火墙技术。

但是，似乎任何东西都不可能逃避“墨菲定律”的规则，代理型防火墙的结构特征偏偏正是它的最大缺点，由于它是基于代理技术的，通过防火墙的每个连接都必须建立在为之创建的代理程序进程上，而代理进程自身是要消耗一定时间的，更何况代理进程里还有一套复杂的协议分析机制在同时工作，于是数据在通过代理防火墙时就不可避免的发生数据迟滞现象，换个形象的说法，每个数据连接在经过代理防火墙时都会先被请进保安室喝杯茶搜搜身再继续赶路，而保安的工作速度并不能很快。代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高的安全性能，在网络吞吐量不是很大的情况下，也许用户不会察觉到什么，然而到了数据交换频繁的时刻，代理防火墙就成了整个网络的瓶颈，而且一旦防火墙的硬件配置支撑不住高强度的数据流量而发生罢工，整个网络可能就会因此瘫痪了。所以，代理防火墙的普及范围还远远不及包过滤型防火墙，而在软件防火墙方面更是几乎没见过类似产品了——单机并不具备代理技术所需的条件，所以就目前整个庞大的软件防火墙市场来说，代理防火墙很难有立足之地。

2.3 状态检测技术

我们知道， Internet 上传输的数据都必须遵循 TCP/IP 协议，根据 TCP 协议，每个可靠连接的建立需要经过“客户端同步请求”、“服务器应答”、“客户端再应答”三个阶段，我们最常用到的 Web 浏览、文件下载、收发邮件等都要经过这三个阶段。这反映出数据包并不是独立的，而是前后之间有着密切的状态联系，基于这种状态变化，引出了状态检测技术。 状态检测防火墙摒弃了包过滤防火墙仅考查数据包的 IP 地址等几个参数，而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。

网关防火墙的一个挑战就是能处理的流量，状态检测技术在大为提高安全防范能力的同时也改进了流量处理速度。状态监测技术采用了一系列优化技术，使防火墙性能大幅度提升，能应用在各类网络环境中，尤其是在一些规则复杂的大型网络上。 任何一款高性能的防火墙，都会采用状态检测技术。

从 2000 年开始，国内的著名防火墙公司，如北京天融信等公司，都开始采用这一最新的体系架构，并在此基础上，天融信 NGFW4000 创新推出了核检测技术，在操作系统内核模拟出典型的应用层协议，在内核实现对应用层协议的过滤，在实现安全目标的同时可以得到极高的性能。目前支持的协议有 HTTP/1.0/1.1 、 FTP 、 SMTP 、 POP3 、 MMS 、 H.232 等最新和最常用的应用协议。

3. 防火墙技术的展望

3.1新需求引发的技术走向

防火墙技术的发展离不开社会需求的变化，着眼未来，我们注意到以下几个新的需求:

（1）远程办公的增长。

这次全国主要城市先后受到 SARS 病毒的侵袭，直接促成大量的企事业在家办公，这就要求防火墙既能抵抗外部攻击，又能允许合法的远程访问，做到更细粒度的访问控制。现在一些厂商推出的 VPN （虚拟专用网）技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙，这样可以确保信息的保密性，又能成为识别入侵行为的手段。

（2）内部网络“包厢化”（ compartmentalizing ）。

人们通常认为处在防火墙保护下的内网是可信的，只有 Internet 是不可信

的。由于黑客攻击技术和工具在 Internet 上随手可及，使得内部网络的潜在威胁大大增加，这种威胁既可以是外网的人员，也可能是内网用户，不再存在一个可信网络环境。 由于无线网络的快速应用以及传统拨号方式的继续存在，内网受到了前所未有的威胁。企业之前的合作将合作伙伴纳入了企业网络里，全国各地的分支机构共享一个论坛，都使可信网络的概念变得模糊起来。应对的办法就是将内部网细分成一间间的“包厢 ”，对每个“包厢”实施独立的安全策略。

3.2 黑客攻击引发的技术走向

防火墙作为内网的贴身保镖，黑客攻击的特点也决定了防火墙的技术走向。

(1) 80端口的关闭

从受攻击的协议和端口来看，排在第一位的就是 HTTP 协议（ 80 端口）。根据 SANS 的调查显示，提供 HTTP 服务的 IIS 和 Apache 是最易受到攻击，这说明 80 端口所引发的威胁最多。 因此，无论是未来的防火墙技术还是现在应用的防火墙产品，都应尽可能将 80 端口关闭。

(2) 数据包的深度检测。

IT 业界权威机构 Gartner 认为代理不是阻止未来黑客攻击的关键，但是防火墙应能分辨并阻止数据包的恶意行为，包检测的技术方案需要增加签名检测 (signature inspection) 等新的功能，以查找已经的攻击，并分辨出哪些是正常的数据流，哪些是异常数据流。

(3) 协同性。

从黑客攻击事件分析，对外提供 Web 等应用的服务器是防护的重点。单单依靠防火墙难以防范所有的攻击行为，这就需要将防火墙技术、入侵检测技术、病毒检测技术有效协同，共同完成保护网络安全的任务。早在 2000 年，北京天融信公司就已经认识到了协同的必要性和紧迫性，推出了 TOPSEC 协议，与 IDS 等其他安全设备联动，与其他安全设备配合组成一个有机的可扩展的安全体系平台。目前主要支持和 IDS 的联动和认证服务器进行联动。如支持国内十几家知名的 IDS、安全管理系统、安全审计、其他认证系统等等组成完整的 TOPSEC 解决方案。

4. 总结

防火墙作为维护网络安全的关键设备，在目前采用的网络安全的防范体系中，占据着举足轻重的位置。伴随计算机技术的发展和网络应用的普及，越来越多的企业与个体都遭遇到不同程度的安全难题，因此市场对防火墙的设备需求和技术要求都在不断提升，而且越来越严峻的网络安全问题也要求防火墙技术有更快的提高，否则将会在面对新一轮入侵手法时束手无策。

多功能、高安全性的防火墙可以让用户网络更加无忧，但前提是要确保网络的运行效率，因此在防火墙发展过程中，必须始终将高性能放在主要位置，目前各大厂商正在朝这个方向努力，而且丰富的产品功能也是用户选择防火墙的依据之一，一款完善的防火墙产品，应该包含有访问控制、网络地址转换、代理、认证、日志审计等基础功能，并拥有自己特色的安全相关技术，如规则简化方案等，明天的防火墙技术将会如何发展，让我们拭目以待。

【参考文献】

1. 雷震甲著：网络工程师教程(笫2版)[M]，北京：清华大学出版社，2006

2. 姜文著：网络安全与管理[M]，北京：清华大学出版社，2007

3. Terry William Ogletree著：防火墙原理与实施[M]，北京：电子工业出版

社，2001.2

4. 邓亚平著：计算机网络安全[M]，北京：人民邮电出版社，2004.9

5. 刘峰、李涛著：FW防火墙应用代理的设计与实现，《网络安全技术与应用》，

2001.8

6. 孔秋林、宋书民、朱智强等著：防火墙技术指南[M]，北京：机械工业出版社，

2000

7. 阎慧等著：防火墙原理与技术[M]，北京：机械工业出版社，2004

8. 朱雁辉著：Windows防火墙与网络封包截获技术[M]，北京：电子工业出版社，

2002

9. 王睿等著：网络安全与防火墙技术[M]，北京：清华大学出版社2000

毕业论文论文标题作者姓名工作单位通信地址指导教师完成时间考号职务邮编职称

防火墙技术的现状与展望

【内容摘要】

随着计算机技术和通讯技术的迅速发展,特别是Internet的出现,使网络的重要性和社会的影响越来越大,网络安全问题也变得越来越重要。防火墙技术作为一种隔离内部安全网络与外部不信任网络的防御技术，已经成为计算机网络安全体系结构中的一个重要组成部分。随着互联网的迅猛发展，为了满足新的网络安全形势的需要，防火墙技术也在不断地更新发展，以提供更加高速、系统、功能多样化的安全保障。本文从防火墙技术的发展现状出发，对防火墙技术的下一步走向和发展趋势进行了展望。

【关键字】防火墙技术 计算机网络 网络安全 发展现状 展望

1. 引言

防火墙是防范网络攻击最常用的方法，从技术理论上看，如今的防火墙经过了多年的不断改进,已经成为一种先进和复杂的基于应用层的网关，不仅能完成传统防火墙的过滤任务，同时也能够针对各种网络应用提供相应的安全服务。防火墙技术的基本思想是限制网络访问，它把网络分为两个部分：外部网络和受保护网络(内部网络)。相比企业而言，外部网络一般指的是Internet，而受保护网络一般指企业自己建立的Internet 防火墙,放在受保护网络和外部网络之间,如下图图1所示

图1 防火墙示意图

防火墙一方面限制外部网络访问受保护网络，对外屏蔽受保护网络的实现细节，保证数据的安全，另一方面限制受保护网络对外部网络的访问，防止不良信息的获取部分，减少信息的泄露。

防火墙就是用来隔离受保护的网络和不受保护的网络（如因特网），通过单一集中的安全检查点，审查并过滤所有从因特网到受保护网络的连接。防火墙（阻塞类防火墙）可以确保除非通过检查点的审查，否则你从网中将不能直接到达因

特网。

2. 防火墙技术的发展现状

防火墙技术经历了包过滤、应用代理网关、再到状态检测三个阶段。

2.1 包过滤技术

包过滤是一种内置于Linux内核路由功能之上的防火墙类型，其防火墙工作在网络层，对数据包的源及目地 IP 具有识别和控制作用，对于传输层，也只能识别数据包是 TCP 还是 UDP 及所用的端口信息，如表1所示。

表1 一些常用网络服务和使用的端口

包过滤技术(IP Filtering or packet filtering) 的原理在于利用路由器监视并过滤网络上流入流出的IP包，拒绝发送可疑的包。由于Internet 与Intranet 的连接多数都要使用路由器，所以Router成为内外通信的必经端口，Router的厂商在Router上加入IP 过滤功能，过滤路由器也可以称作包过滤路由器或筛选路由器（Packet Filter Router）。防火墙常常就是这样一个具备包过滤功能的简单路由器，这种Firewall应该是足够安全的，但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的，因而在安全要求较高的

场合，通常还配合使用其它的技术来加强安全性。

常用的优秀的个人防火墙有Norman Personal Firewall、天网防火墙等 现在的路由器、 Switch Router 以及某些操作系统已经具有用 Packet Filter 控制的能力。 由于只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析，包过滤防火墙的处理速度较快，并且易于配置。 包过滤防火墙具有根本的缺陷：

(1) 不能防范黑客攻击

包过滤防火墙的工作基于一个前提，就是网管知道哪些 IP 是可信网络，哪些是不可信网络的 IP 地址。但是随着远程办公等新应用的出现，网管不可能区分出可信网络与不可信网络的界限，对于黑客来说，只需将源 IP 包改成合法 IP 即可轻松通过包过滤防火墙，进入内网，而任何一个初级水平的黑客都能进行 IP 地址欺骗。

(2) 不支持应用层协议

假如内网用户提出这样一个需求，只允许内网员工访问外网的网页（使用 HTTP 协议），不允许去外网下载电影（一般使用 FTP 协议）。包过滤防火墙无能为力，因为它不认识数据包中的应用层协议，访问控制粒度太粗糙。

(3) 不能处理新的安全威胁

它不能跟踪 TCP 状态，所以对 TCP 层的控制有漏洞。如当它配置了仅允许从内到外的 TCP 访问时，一些以 TCP 应答包的形式从外部对内网进行的攻击仍可以穿透防火墙。

综上可见，包过滤防火墙技术面太过初级，就好比一位保安只能根据访客来自哪个省市来判断是否允许他（她）进入一样，难以履行保护内网安全的职责。

2.2 应用代理网关技术

由于包过滤技术无法提供完善的数据保护措施，而且一些特殊的报文攻击仅仅使用过滤的方法并不能消除危害（如SYN攻击、ICMP洪水等），因此人们需要一种更全面的防火墙保护技术，在这样的需求背景下，采用“应用代理”（Application Proxy）技术的防火墙诞生了。代理服务器作为一个为用户保密或者突破访问限制的数据转发通道，在网络上应用广泛。我们都知道，一个完整的代理设备包含一个服务端和客户端，服务端接收来自用户的请求，调用自身的客户端模拟一个基于用户请求的连接到目标服务器，再把目标服务器返回的数据转发给用户，完成一次代理工作过程。那么，如果在一台代理设备的服务端和客户端之间连接一个过滤措施呢？这样的思想便造就了“应用代理”防火墙，这种防火墙实际上就是一台小型的带有数据检测过滤功能的透明代理服务器（Transparent Proxy），但是它并不是单纯的在一个代理设备中嵌入包过滤技

术，而是一种被称为“应用协议分析”（Application Protocol Analysis）的新技术。

“应用协议分析”技术工作在OSI模型的最高层——应用层上，在这一层里能接触到的所有数据都是最终形式，也就是说，防火墙“看到”的数据和我们看到的是一样的，而不是一个个带着地址端口协议等原始内容的数据包，因而它可以实现更高级的数据检测过程。整个代理防火墙把自身映射为一条透明线路，在用户方面和外界线路看来，它们之间的连接并没有任何阻碍，但是这个连接的数据收发实际上是经过了代理防火墙转向的，当外界数据进入代理防火墙的客户端时，“应用协议分析”模块便根据应用层协议处理这个数据，通过预置的处理规则（没错，又是规则，防火墙离不开规则）查询这个数据是否带有危害，由于这一层面对的已经不再是组合有限的报文协议，甚至可以识别类似于“GET /sql.asp?id=1 and 1”的数据内容，所以防火墙不仅能根据数据层提供的信息判断数据，更能像管理员分析服务器日志那样“看”内容辨危害。而且由于工作在应用层，防火墙还可以实现双向限制，在过滤外部网络有害数据的同时也监控着内部网络的信息，管理员可以配置防火墙实现一个身份验证和连接时限的功能，进一步防止内部网络信息泄漏的隐患。最后，由于代理防火墙采取是代理机制进行工作，内外部网络之间的通信都需先经过代理服务器审核，通过后再由代理服务器连接，根本没有给分隔在内外部网络两边的计算机直接会话的机会，可以避免入侵者使用“数据驱动”攻击方式（一种能通过包过滤技术防火墙规则的数据报文，但是当它进入计算机处理后，却变成能够修改系统设置和用户数据的恶意代码）渗透内部网络，可以说，“应用代理”是比包过滤技术更完善的防火墙技术。

但是，似乎任何东西都不可能逃避“墨菲定律”的规则，代理型防火墙的结构特征偏偏正是它的最大缺点，由于它是基于代理技术的，通过防火墙的每个连接都必须建立在为之创建的代理程序进程上，而代理进程自身是要消耗一定时间的，更何况代理进程里还有一套复杂的协议分析机制在同时工作，于是数据在通过代理防火墙时就不可避免的发生数据迟滞现象，换个形象的说法，每个数据连接在经过代理防火墙时都会先被请进保安室喝杯茶搜搜身再继续赶路，而保安的工作速度并不能很快。代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高的安全性能，在网络吞吐量不是很大的情况下，也许用户不会察觉到什么，然而到了数据交换频繁的时刻，代理防火墙就成了整个网络的瓶颈，而且一旦防火墙的硬件配置支撑不住高强度的数据流量而发生罢工，整个网络可能就会因此瘫痪了。所以，代理防火墙的普及范围还远远不及包过滤型防火墙，而在软件防火墙方面更是几乎没见过类似产品了——单机并不具备代理技术所需的条件，所以就目前整个庞大的软件防火墙市场来说，代理防火墙很难有立足之地。

2.3 状态检测技术

我们知道， Internet 上传输的数据都必须遵循 TCP/IP 协议，根据 TCP 协议，每个可靠连接的建立需要经过“客户端同步请求”、“服务器应答”、“客户端再应答”三个阶段，我们最常用到的 Web 浏览、文件下载、收发邮件等都要经过这三个阶段。这反映出数据包并不是独立的，而是前后之间有着密切的状态联系，基于这种状态变化，引出了状态检测技术。 状态检测防火墙摒弃了包过滤防火墙仅考查数据包的 IP 地址等几个参数，而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。

网关防火墙的一个挑战就是能处理的流量，状态检测技术在大为提高安全防范能力的同时也改进了流量处理速度。状态监测技术采用了一系列优化技术，使防火墙性能大幅度提升，能应用在各类网络环境中，尤其是在一些规则复杂的大型网络上。 任何一款高性能的防火墙，都会采用状态检测技术。

从 2000 年开始，国内的著名防火墙公司，如北京天融信等公司，都开始采用这一最新的体系架构，并在此基础上，天融信 NGFW4000 创新推出了核检测技术，在操作系统内核模拟出典型的应用层协议，在内核实现对应用层协议的过滤，在实现安全目标的同时可以得到极高的性能。目前支持的协议有 HTTP/1.0/1.1 、 FTP 、 SMTP 、 POP3 、 MMS 、 H.232 等最新和最常用的应用协议。

3. 防火墙技术的展望

3.1新需求引发的技术走向

防火墙技术的发展离不开社会需求的变化，着眼未来，我们注意到以下几个新的需求:

（1）远程办公的增长。

这次全国主要城市先后受到 SARS 病毒的侵袭，直接促成大量的企事业在家办公，这就要求防火墙既能抵抗外部攻击，又能允许合法的远程访问，做到更细粒度的访问控制。现在一些厂商推出的 VPN （虚拟专用网）技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙，这样可以确保信息的保密性，又能成为识别入侵行为的手段。

（2）内部网络“包厢化”（ compartmentalizing ）。

人们通常认为处在防火墙保护下的内网是可信的，只有 Internet 是不可信

的。由于黑客攻击技术和工具在 Internet 上随手可及，使得内部网络的潜在威胁大大增加，这种威胁既可以是外网的人员，也可能是内网用户，不再存在一个可信网络环境。 由于无线网络的快速应用以及传统拨号方式的继续存在，内网受到了前所未有的威胁。企业之前的合作将合作伙伴纳入了企业网络里，全国各地的分支机构共享一个论坛，都使可信网络的概念变得模糊起来。应对的办法就是将内部网细分成一间间的“包厢 ”，对每个“包厢”实施独立的安全策略。

3.2 黑客攻击引发的技术走向

防火墙作为内网的贴身保镖，黑客攻击的特点也决定了防火墙的技术走向。

(1) 80端口的关闭

从受攻击的协议和端口来看，排在第一位的就是 HTTP 协议（ 80 端口）。根据 SANS 的调查显示，提供 HTTP 服务的 IIS 和 Apache 是最易受到攻击，这说明 80 端口所引发的威胁最多。 因此，无论是未来的防火墙技术还是现在应用的防火墙产品，都应尽可能将 80 端口关闭。

(2) 数据包的深度检测。

IT 业界权威机构 Gartner 认为代理不是阻止未来黑客攻击的关键，但是防火墙应能分辨并阻止数据包的恶意行为，包检测的技术方案需要增加签名检测 (signature inspection) 等新的功能，以查找已经的攻击，并分辨出哪些是正常的数据流，哪些是异常数据流。

(3) 协同性。

从黑客攻击事件分析，对外提供 Web 等应用的服务器是防护的重点。单单依靠防火墙难以防范所有的攻击行为，这就需要将防火墙技术、入侵检测技术、病毒检测技术有效协同，共同完成保护网络安全的任务。早在 2000 年，北京天融信公司就已经认识到了协同的必要性和紧迫性，推出了 TOPSEC 协议，与 IDS 等其他安全设备联动，与其他安全设备配合组成一个有机的可扩展的安全体系平台。目前主要支持和 IDS 的联动和认证服务器进行联动。如支持国内十几家知名的 IDS、安全管理系统、安全审计、其他认证系统等等组成完整的 TOPSEC 解决方案。

4. 总结

防火墙作为维护网络安全的关键设备，在目前采用的网络安全的防范体系中，占据着举足轻重的位置。伴随计算机技术的发展和网络应用的普及，越来越多的企业与个体都遭遇到不同程度的安全难题，因此市场对防火墙的设备需求和技术要求都在不断提升，而且越来越严峻的网络安全问题也要求防火墙技术有更快的提高，否则将会在面对新一轮入侵手法时束手无策。

多功能、高安全性的防火墙可以让用户网络更加无忧，但前提是要确保网络的运行效率，因此在防火墙发展过程中，必须始终将高性能放在主要位置，目前各大厂商正在朝这个方向努力，而且丰富的产品功能也是用户选择防火墙的依据之一，一款完善的防火墙产品，应该包含有访问控制、网络地址转换、代理、认证、日志审计等基础功能，并拥有自己特色的安全相关技术，如规则简化方案等，明天的防火墙技术将会如何发展，让我们拭目以待。

【参考文献】

1. 雷震甲著：网络工程师教程(笫2版)[M]，北京：清华大学出版社，2006

2. 姜文著：网络安全与管理[M]，北京：清华大学出版社，2007

3. Terry William Ogletree著：防火墙原理与实施[M]，北京：电子工业出版

社，2001.2

4. 邓亚平著：计算机网络安全[M]，北京：人民邮电出版社，2004.9

5. 刘峰、李涛著：FW防火墙应用代理的设计与实现，《网络安全技术与应用》，

2001.8

6. 孔秋林、宋书民、朱智强等著：防火墙技术指南[M]，北京：机械工业出版社，

2000

7. 阎慧等著：防火墙原理与技术[M]，北京：机械工业出版社，2004

8. 朱雁辉著：Windows防火墙与网络封包截获技术[M]，北京：电子工业出版社，

2002

9. 王睿等著：网络安全与防火墙技术[M]，北京：清华大学出版社2000