防火墙技术现状及发展趋势

狙神

防火墙是网络安全的第一道屏障，所占市场最大，安全技术也比较成熟。硬件防火墙产品的架构主要分为三类：以X86 为代表的通用处理器架构、 AISC (专用集成电路)架构以及新近的 NP ( Net Processor )架构。

防火墙的功能

从防火墙的功能来说，主要包含以下几个方面：访问控制，如应用 ACL 进行访问控制、 NAT; VPN ;路由、认证和加密、日志记录、管理、攻击防范等。

为了满足多样化的组网需求，降低用户对其它专用设备的需求，减少用户建网成本，防火墙上也常常把其它网络技术结合进来，例如支持 DHCP server 、 DHCP replay 、动态路由，支持拨号、 PPPOE 等特性;支持广域网口;支持透明模式 ( 桥模式 ) ;支持内容过滤 ( 如 URL 过滤 ) 、防病毒和 IDS 等功能。

状态检测技术

状态检测技术要监视每个连接发起到结束的全过程，对于部分协议，如 FTP 、 H.323 等协议，是有状态的协议，防火墙必须对这些协议进行分析，以便知道什么时候，从哪个方向允许特定的连接进入和关闭。

状态防火墙可以对特定的协议进行解码，因此安全性也比较好。有的防火墙可以对 FTP 、 SMTP 等有害命令进行检测和过滤，但因为在应用层解码分析，处理速度比较慢，为此，有的防火墙采用自适应方式，因此处理速度很快。

状态防火墙还有一个特色是，当检测到 SYN FLOOD 攻击时，会启动代理。此时，如果是伪造源 IP 的会话，因为不能完成三层握手，攻击报文就无法到达服务器，但正常访问的报文仍然可达。

技术发展趋势

未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。

从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度不够。应用 ASIC 、 FPGA 和网络处理器是实现高速防火墙的主要方法，其中以采用网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持 IPV6 ，而采用其它方法就不那么灵活。

实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协处理单元，因此比较容易实现高速。

对于采用纯 CPU 的防火墙，就必须有算法支撑，例如 ACL 算法。目前有的应用环境，动辄应用数百乃至数万条规则，没有算法支撑，对于状态防火墙，建立会话的速度会十分缓慢。

受现有技术的限制，目前还没有有效的对应用层进行高速检测的方法，也没有哪款芯片能做到这一点。因此，防火墙不适宜于集成内容过滤、防病毒和 IDS 功能 ( 传输层以下的 IDS 除外，这些检测对 CPU 消耗小 ) 。对于IDS ，目前最常用的方式还是把网络上的流量镜像到 IDS 设备中处理，这样可以避免流量较大时造成网络堵塞。此外，应用层漏洞很多，攻击特征库需要频繁升级，对于处在网络出口关键位置的防火墙，如此频繁地升级也是不现实的。

多功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都比较高，组网环境也越来越复杂，一般用户总希望防火墙可以支持更多的功能，满足组网和节省投资的需要。例如，防火墙支持广域网口，并不影响安全性，但在某些情况下却可以为用户节省一台路由器;支持部分路由器协议，如路由、拨号等，可以更好地满足组网需要;支持 IPSEC VPN ，可以利用因特网组建安全的专用通道，既安全又节省了专线投资。

未来防火墙的操作系统会更安全。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。

来源：IT168

workers2

嗯，看到楼主分析的还是挺到位的  但是防火墙还是有好多的内网问题是无能为里的。

IT民工

嗯，不错

防火墙的概念越来越模糊，开始趋向于UTM

workers2

我们可以常见防火墙弊端：1、不能防御来自内部的攻击：来自内部的攻击者是从网络内部发起攻击的，他们的攻击行为不通过防火墙，而防火墙只是隔离内部网与因特网上的主机，监控内部网和因特网之间的通信，而对内部网上的情况不作检查，因而对内部的攻击无为力  
2、不能防御绕过防火墙的攻击行为：从根本上讲，防火墙是一种被动的防御手段，只能守株待兔式地对通过它的数据报进行检查，如果该数据由于某种原因没有通过防火墙，则防火墙就不会采取任何的措施
3、不能防御完全新的威胁：防火墙只能防御已知的威胁，但是人们发现可信赖的服务中存在新的侵袭方法，可信赖的服务就变成不可信赖的了
4、防火墙不能防御数据驱动的攻击：虽然防火墙扫描分析所有通过的信息，但是这种扫描分析多半是针对IP地址和端口号或者协议内容的，而非数据细节。这样一来，基于数据驱动的攻击，比如病毒，可以附在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。
UTM
1 网关防御在防范外部威胁的时候非常有效，但是在面对内部威胁的时候就无法发挥作用了。有很多资料表明造成组织信息资产损失的威胁大部分来自于组织内部，所以以网关型防御为主的UTM 设备目前尚不是解决安全问题的万灵药。
2 过度集成带来的风险
将所有功能集成在UTM 设备当中使得抗风险能力有所降低。一旦该UTM 设备出现问题，将导致所有的安全防御措施失效。UTM 设备的安全漏洞也会造成相当严重的损失。
3 性能和稳定性
尽管使用了很多专门的软硬件技术用于提供足够的性能，但是在同样的空间下实现更高的性能输出还是会对系统的稳定性造成影响。目前UTM 安全设备的稳定程度相比传统安全设备来说仍有不少可改进之处。

集中精力

我见到别人讨论这个东东！大家都说防火墙和内网的免疫墙配合才是最好的

IT民工

luckydog6426

对三楼哥们的意见我提点我自己的观点！
防火墙的概念其实发展到至今 每个厂家都增加了五花八门的自己的技术！但是其实综合而定！ 防火墙也有它的缺陷。说个俗话！ 当时外网攻击太多，搞的人烦不胜烦！火大的！ 于是出来了防火墙！ 哈哈！  当然这开的是句玩笑！
防火墙 第一：包过滤机制 第二：代理服务器！ 状态检测服务器其实就是应用代理服务器的变种！ 为专门的服务写程序 然后在这个程序里添加控制 检测机制 监测机制 检测你的访问的时间 从哪来的等！！
不管防火墙发展到什么地步 终归的机理离不开防火墙包过滤和代理服务器的范围！无非就是在检测速度 深度上下手！
防火墙做的还是包以上的行为控制 也就是OSI 网络层以上 3-7层的东西！

防火墙防外部防内！实际上，所有以前出现的各种不同类型的防火墙，从简单的包过滤在应用层代理以至自适应代理，都是基于一个共同的假设，那就是防火墙把内部网络一端的用户看成是可信任的，而外部网络一端的用户则都被作为潜在的攻击者来对待。

UTM 是什么！ 其实就是一个集中化的设备联合！ 它把很多功能融合在一起！ 当你把UTM架设到网关上的时候，也只是你网络哪里缺陷大一些 用UTM中的哪一个功能！

其实不管是防火墙还是UTM 还是其他的一些什么网络设备！抑或上网行为管理软件和硬件！
大家也许只架设过其中的某些设备！ 或者是全部都有！ 但是网络掉线 卡滞 访问中断 网卡 延迟 等这些常见的问题 有得到解决吗？ 也许装了新设备后，这样的问题可能当时没有了! 但是过了两天或者一星期 这些烂毛病又出现了！ 搞的人烦死了！ 老板又责怪网管没有把网络管理好！ 轻则挨骂！ 重则开除！ 真是冤枉！

其实这样的现象大家都碰到过，只是平时也不去注意！掉线很平常嘛！ 掉个一次两次线嘛！人还有个灾疾病痛什么的！ 更何况是网络了！ 但是大家换个方向想一下！ 偶尔掉一次这可能原因有很多！ 但是如说很平凡的掉呢!那么我们就得考虑这问题到底出现在哪里了！

人有免疫力！ 有点小病小灾的时候可以自我防御通过调用自我免疫细胞把搞破坏的病毒干掉,杀死!从而不会表现出来，不会影响这个人的正常的行为！

把人和电脑联系起来！人就是终端PC 而内网可能就是国家 外网就是国外 如果一个人不规矩 那么就可能影响你周围的环境 进而影响到一个国家！如果你私通国外 那么这个国家也许会因为你这样的行为而遭受损失！ 就像PC 一样！ 如果是你自身的问题 那么有可能会影响内网跟你同一网段的PC 那么进而影响到整个内网！ 如果说你专门给外网提供漏洞 提供后门 那么对你内网是豪无安全可言的！ 举个小列子 不过还是很形象的！

攘外必先安内！更何况外网的攻击哪有那么多！ 电信网通接入商那里架设了那么多硬件防火墙 其实防止外网的攻击已经足够！ 毕竟外网的攻击也不会那么多！更何况现在漏洞都已经填补完了！ 常见的漏洞都有办法！ 所以以前专注外网攻击的哥们 现在把眼光放到了内网中！其实网络无非就是内外区分！ 既然现在从外部攻破有难度 那么我就从你内网瓦解你！最坚固的堡垒往往是从内部攻破的！所以如何保障内网的安全这是未来网络发展的一个必然趋势也是现阶段的重中之重的一个话题！

既然我们人都有免疫力，那么我们的内网是不是也应该有个免疫力 从而达到一个健康稳定 能够自我调节的 自我保护的一个免疫网络！

通常的网络产品都是被动式防御！破坏行为来了 我给你堵截！但是这样一个被动式的防御通常都是 我打你！ 你退一步防御！ 我再打你！ 你还退一步防御！防御防御 一直到我打你打到你坚持不住 那就崩溃了！ 设备当机了！ 也许是局部不能用了！ 如果是个网关的功能 也许整个网络都瘫痪了！ 像人一样，自身有免疫力！在你这种问题还没有出现的时候我从源头给你堵截！ 让你发都发不出去！ 从源头上抑制！把你这种攻击行为限制在你的终端上！由过去的被动防御变成现在的主动防御！

免疫网络的主要理念是自主防御和管理 它通过源头抑制，群防群控，全网联动使网络内每一个节点都具有安全功能 在面临攻击时调动各种安全资源进行应对！

它与防火墙，入侵检测系统，防病毒等“老三样”组成的安全网络相比，突破了被动防御 边界防护的局限，着重从内网的角度解决攻击问题，应对目前网络攻击复杂性，多样性，更多从内网发起的趋势，更有效地解决网络威胁！
同时，安全和管理密不可分。免疫网络对基于可信身份的带宽管理，业务感知和控制，以及对全网安全问题和工作效能的监测，分析，统计，评估 保证了企业网络的可管可控，大大提高了通信效率和可靠性。

其实免疫网络是个形象的概念！ 每个厂家都可以实现其产品化！毕竟人的思维想法都不一样！

现阶段 市面上免疫网络的产品只有“巡路免疫网络解决方案” 真正做到免疫的目的！主要针对2-3层的保护 免疫网络产品化的雏形！ 当然还是很稚嫩的！

像我上面提到的那些问题（网络卡 卡滞 延迟 掉线 不能访问……等等） 都是由于内网的问题而引发出来！ 所以保障内网安全是重中之重的话题！

[ 本帖最后由 luckydog6426 于 2009-11-25 15:41 编辑 ]

luckydog6426

没人说防火墙不好！ 也没有人说免疫墙怎么怎么样！ 只是侧重点不同！ 设备所定位的方向是不同的！针对的应用也是不同的！ 面向的对象也是不同的！其实我上面的回复也写了免疫网络的主要理念中的一条就是在面临攻击时调用各种安全资源进行应对！

集中精力

对哦侧重点！一定要记准了买的歌剧院的票，你想看篮球赛这个是不可能的啊

网络行者

1.卡滞 网页卡 游戏卡 视频卡
2.掉线 整网掉线 个别掉线 局部掉线
3.速度慢 图片慢 邮件慢 网页慢
4.重启硬件交换机 cam记录网卡MAC地址，交换机会拥堵。
5.ping内网延时大
6.带宽不足 抢占带宽
7.ARP 问题
8.经常重装系统 认为是有病毒了 其实是协议攻击
9.着急下订单下不了，老板发邮件发不了，老板把网管开了
10.OA系统登陆不上 慢 卡。下面几个办公系统内外网访问问题
11.带宽不够用，干什么你不知道
12.内网服务器访问缓慢
13.网络打印机，本地打印机，打不出东西
14.VOIP断开不连接
15.VPN断开连不上
16.IP地址冲突，都上不去
17.网上银行QQ密码，银行密码 都是用户网络协议攻击造成的
18.DNS解析不通 经常不能访
可能有一些朋友看到这些现象以后都觉得可能自己电脑系统问题、自己网络带宽不够、设备（路由器或者交换机）带宽背板不够、外边线路有问题等等，所以大家都做的是重做系统安装或者换杀毒软件、增加宽带数量有一些信息安全要求的会上一些网络安全的“老三样”的产品（防火墙、IPS/IDS和杀毒）。对于上全这些安全产品的单位或公司这些问题依然不断出现，难道还是大家想到的原因吗？答案是肯定的不是，目前随着对网络技术不断了解和技术的发展，网络攻击问题已经深入更深的层和更多样化了，中国通信标准化协会（CCSA）网络与信息安全技术委员会无线网络安全工作组组长郑志彬博士提出以设备联动、安全与网络功能融合的安全解决方案才能解决现在网络的安全问题也就是你说的内网问题！目前看在网上和一些论坛看到一些关于免疫网络概念跟这块很像！建议楼主去网上搜一下免疫网络的理念和介绍！我相信你会有一个更明确的概念！！！