胡坤

摘 要：互联网信息技术的发展使得众多企业组织开始连接到互联网上，这样企业在实现访问外部世界并与之通信的同时，外部世界也同样可以访问企业内部网络并与之交互。这时为了保证企业组织的信息安全，企业就必须对其重要信息进行保护。为了安全起见企业开始在内部网络和Internet之间建立一个中介系统，竖起一道安全屏障。这道屏障的作用是过滤不安全的服务和非法的用户，并控制内部网络对特殊站点的访问同时记录内外部网络之间的连接，提供预警和审计等功能。这种屏障就是我们常说的防火墙。本文介绍了防火墙技术的现状，并分析了如今防火墙技术的局限性和未来发展的趋势。

关键词：现状；局限性；发展

一、防火墙的概念

防火墙是指隔离在本地网络与外界网络之间的一道执行控制策略的防御系统。它对网络之间传输的数据包依照一定的安全策略进行检查，以决定通信是否被允许，对外屏蔽内部网的信息、结构和运行状况，并提供单一的安全和审计的安装控制点，从而达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息目的。

防火墙实质上是一种隔离控制技术，其核心思想是在不安全的网络环境下构造一种相对安全的内部网络环境。从逻辑上讲它既是一个分析器又是一个限制器，它要求所有进出网络的数据流都必须有安全策略和计划的确认和授权并将内外网络在逻辑上分离。

二、防火墙技术的现状

目前的防火墙技术主要包括两种类型， 第一类是包过滤技术， 主要经历了四个发展阶段。第一代是和路由器同时出现的静态包过滤技术防火墙， 也就是传统的“边界防火墙”， 它通常是基于访问控制列表（ACL）进行包过滤的， 静态包过滤技术虽然简单、易用、透明、高速， 但是其安全性能很低。第二代是动态包过滤（Dynamic Packet Filter） 技术， 动态包过滤技术是基于连接状态对数据包进行检查的， 解决了静态包过滤的安全限制， 同时也提供了较好的性能， 目前应用比较普遍， 但是随着主动攻击的增多， 动态包过滤技术也面临着巨大的挑战。第三代是全状态检测（Stateful Inspection） 防火墙技术， 该技术提供了完整的对传输层的控制能力， 状态检测技术还采用了一系列的优化技术， 在大大提高安全防范能力的同时也改进了流量处理速度， 使防火墙性能大幅度提升， 是目前采用的主流防火墙技术。第四代是深度包检测（Deep Packet Inspection） 防火墙技术， 面对新形势下的蠕虫病毒、DDOS （ 分布式拒绝服务） 攻击、垃圾邮件泛滥等严重威胁，最新一代包过滤类防火墙采用了深度包检测 （Deep Packet Inspection） 技术， 深度包检测引擎以基于指纹匹配、启发式技术、异常检测以及统计学分析等技术来决定如何处理数据包。深度包检测防火墙能阻止 DDOS攻击、病毒传播问题和高级应用入侵问题， 该技术代表着新一代防火墙的发展方向。

第二类是代理网关技术， 主要经历了从应用层代理、电路层代理到自适应代理防火墙这样三个阶段。代理网关技术的优点是可以检查应用层、传输层和网络层的协议特征， 对数据包的检测能力比较强。总之， 代理技术类防火墙在对应用层的数据过滤方面能力优于包过滤类防火墙， 但是在性能方面的表现就会大大逊色， 而且有的可能需要安装特殊的客户端软件， 使用起来不够人性化。

三、防火墙技术的局限性和未来的趋势

尽管利用防火墙技术可以比较有效地保护计算机网络免受外部黑客所进行的网络攻击，但不可能保证网络的绝对安全，事实上仍然存在着一些防火墙不能防范的安全威胁。在实际应用中防火墙存在着许多的局限，如防火墙不能防范不经过防火墙的攻击，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与外部公共网络的直接连接，躲避了防火墙对其的访问控制和安全检查；由于防火墙是设置在内部网和外部网之间的安全组件，不能解决来自内部人员对网络的破坏或资料的盗窃等安全问题；目前防火墙并不具备杀毒功能，不能阻止受病毒感染的文件的传输，所以也不能保护内部网络免受计算机病毒的破坏；防火墙技术是根据事先设定的安全策略来保护内部网络的，只能防范已知的安全威胁，无法预测前所未见的攻击方式。另外，防火墙不能防止利用服务器系统漏洞所进行的攻击，黑客可以通过防火墙准许的端口对该服务器的漏洞进行攻击。

防火墙的各种关键技术，如包过滤技术、应用层网关技术和状态监测技术等在实际的应用中各有其优缺点。我们首先要对所要保护的网络的规模、功能做一个全面的分析和评估，以确定网络所需要的安全等级，最后根据网络的安全等级选择适合自己网络的防火墙技术和产品，事实上许多防火墙产品都是以上提到的防火墙技术的综合运用。面对黑客进行攻击的新特点以及网络安全领域的新变化，防火墙技术也在不断地更新和完善，目前防火墙技术有下面几个发展趋势。

1. 多级过滤技术

多级过滤技术防火墙是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术。它采用多级过滤措施，过滤深度进一步加强，从简单的地址和服务过滤发展到 URL过滤、内容过滤等。采用多级过滤技术的防火墙在 TCP/IP 协议的网络层一级过滤掉所有的源路由 IP 数据包和假冒源 IP 地址的 IP 数据包；在传输层一级过滤掉所有禁止出入的协议和有害数据包如 Nuke 包等；在应用层一级利用 FTP 和 SMTP 等各种网关，控制和监测 Internet 提供的所有通用服务。这种过滤技术在分层上非常清楚，每种过滤技术对应于不同的网络层，便于将来防火墙技术内容的扩展。

2. 用户身份认证技术

采用用户身份认证技术的防火墙具有基于用户角色的安全策略功能，它通常是在应用层上来实现的。包过滤技术的防火墙无法实现对用户的身份验证，使用用户身份认证技术可以很好地提高网络的安全级别，但是也会对网络的通信性能造成负面影响，因为用户身份验证需要时间，特别是加密型的用户身份验证，因此该技术一般应用在对用户身份比较敏感的无线通信网络中。

3. 嵌套病毒防护技术

采用嵌套病毒防护技术的防火墙通常也叫“病毒防火墙”，目前主要应用在个人防火墙中，因为它是纯软件形式，所以实现起来比较容易。这种技术可以有效地防止病毒在网络中的传播，比被动地等待攻击的发生更加积极。但是采用这种技术往往会导致整个系统性能的急剧下降，因此这种技术一般只应用在低端产品中。

参考文献：

[1]朱鹏. 基于状态包过滤的防火墙技术[J]. 微计算机信息，2005.

[2]张公忠. 现代网络技术教程[M]. 北京：电子工业出版社出版，2004.

[3]张小斌. 黑客分析与防范技术[M]. 北京：清华大学出版社，1999.

[4]王睿. 网络安全及防火墙技术[M]. 北京：清华大学出版社，2000.

[5]斯特拉斯伯格. 防火墙技术大全[M]. 北京：机械工业出版社，2003.endprint