防火墙技术说明及发展趋势

• 　　一、防火墙技术发展概述
  
  　　传统的防火墙通常是基于访问控制列表(ACL)进行包过滤的，位于在内部专用网的入口处，所以也俗称"边界防火墙"。随着防火墙技术的发展，防火墙技术也得到了发展，出现了一些新的防火墙技术，如电路级网关技术、应用网关技术和动态包过滤技术，在实际运用中，这些技术差别非常大，有的工作在OSI参考模式的网络层，；有的工作在传输层，还有的工作在应用层。
  
  　　在这些已出现的防火墙技术中，静态包过滤是最差的安全解决方案，其应用存在着一些不可克服的限制，最明显的表现就是不能检测出基于用户身份的地址欺骗型数据包，并且很容易受到诸如DoS（拒绝服务）、IP地址欺诈等黑客攻击。现在已基本上没有防火墙厂商单独使用这种技术。应用层网关和电路级网关是比较好的安全解决方案，它们在应用层检查数据包。但是，我们不可能对每一个应用都运行这样一个代理服务器，而且部分应用网关技术还要求客户端安装有特殊的软件。这两种解决方案在性能上也有很大的不足之处。动态包过滤是基于连接状态对数据包进行检查，由于动态包过滤解决了静态包过滤的安全限制，并且比代理技术在性能上有了很大的改善，因而目前大多数防火墙厂商都采用这种技术。但是随着主动攻击的增多，状态包过滤技术也面临着巨大的挑战，更需要其它新技术的辅助。
  
  　　除了访问控制功能外，现在大多数的防火墙制造商在自己的设备上还集成了其它的安全技术，如NAT和VPN、病毒防护等。
  
  　　二、防火墙未来的技术发展趋势
  
  　　随着新的网络攻击的出现，防火墙技术也有一些新的发展趋势。这主要可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来体现。
  
  　　1. 防火墙包过滤技术发展趋势
  
  　　（1）. 一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中，使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常必要。具有用户身份验证的防火墙通常是采用应用级网关技术的，包过滤技术的防火墙不具有。用户身份验证功能越强，它的安全级别越高，但它给网络通信带来的负面影响也越大，因为用户身份验证需要时间，特别是加密型的用户身份验证。
  
  　　（2）. 多级过滤技术
  
  　　所谓多级过滤技术，是指防火墙采用多级过滤措施，并辅以鉴别手段。在分组过滤（网络层）一级，过滤掉所有的源路由分组和假冒的IP源地址；在传输层一级，遵循过滤规则，过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等；在应用网关（应用层）一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术，它可以弥补以上各种单独过滤技术的不足。
  
  　　这种过滤技术在分层上非常清楚，每种过滤技术对应于不同的网络层，从这个概念出发，又有很多内容可以扩展，为将来的防火墙技术发展打下基础。
  
  　　（3）. 使防火墙具有病毒防护功能。现在通常被称之为"病毒防火墙"，当然目前主要还是在个人防火墙中体现，因为它是纯软件形式，更容易实现。这种防火墙技术可以有效地防止病毒在网络中的传播，比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少公司的损失。
  
  　　2. 防火墙的体系结构发展趋势
  
  　　随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外，在以后几年里，多媒体应用将会越来越普遍，它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要，一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来，基于网络处理器的防火墙也是基于软件的解决方案，它需要在很大程度上依赖于软件的性能，但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎，从而减轻了CPU的负担，该类防火墙的性能要比传统防火墙的性能好许多。
  
  　　与基于ASIC的纯硬件防火墙相比，基于网络处理器的防火墙具有软件色彩，因而更加具有灵活性。基于ASIC的防火墙使用专门的硬件处理网络数据流，比起前两种类型的防火墙具有更好的性能。但是纯硬件的ASIC防火墙缺乏可编程性，这就使得它缺乏灵活性，从而跟不上防火墙功能的快速发展。理想的解决方案是增加ASIC芯片的可编程性，使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。
  
• [1] [2] [3] [4] [5] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 防火墙技术说明及发展趋势 相关文章：
• ·黑客攻击与防守
• ·硬件防火墙的配置过程讲解
• ·开启瑞星防火墙不能上网问题解决
• ·无线网络攻防实战：WEP密钥如何被攻破的
• ·IE浏览器防护和修复全攻略
• ·无线攻防：破解WEP密钥过程全解
• ·VBS脚本病毒原理分析与防范 （1）
• ·sqlexp攻击．怎么防止？
• ·杀毒技巧系列:杀毒、防恶意代码、脚本病毒的不完全合集
• ·《FM2006》国外玩家的球员推荐+原创心得体会（后防篇）
• 防火墙技术说明及发展趋势 相关软件
• ·瑞星杀毒防火墙组合版2007V19.34.32 完全免费版
• ·ARP防火墙 V5.0 Beta1 单机版
• ·诺顿防病毒软件(Norton AntiVirus) V2007
• ·江民防火墙 V10.0
• ·QQ防盗登陆器 V2.30 绿色免费版
• ·ARP防火墙 V3.1.1 网络版
• ·瑞星个人防火墙 2008V20.06.40 (测试版)
• ·Autorun病毒防御者V2.0 Beta 1
• ·天网防火墙 2006 V3.0.0.1010 build 1025 个人版
• ·安铁诺防病毒软件 2008

上一篇:AS打造鼠标控制转动地球仪

下一篇:巧妙安全的发送压缩文件的技巧

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐