国内外主流防火墙分析..docVIP

网盾防火墙与国内外主流防火墙 分析报告 防火墙产品类型发展趋势 在防火墙十多年的发展中，防火墙厂家对防火墙的分类一直在变化，各个厂家对自己的防火墙产品有不同的标榜。但在我看来，防火墙发展的总趋势都是集中在寻找防火墙性能和功能的平衡点。下面是五种典型的现行的防火墙种类。 包过滤防火墙 传统的包过滤对包的检测是工作在网络层，它只是通过逐个检查单个包的地址，协议以及端口等信息来决定是否允许此数据包通过。包过滤的主要优点是由高性能和易于配置，因此尽管包过滤的安全性低，许多厂家仍然不放弃包过滤类型，而且对包过滤进行了大量的功能扩展，如添加代理功能，用户认证，对话层的状态检测等以提高包过滤的安全性能，以求做到保证速度和安全性兼得。 应用代理防火墙 应用级防火墙主要工作于应用层。它主要的优点是通过完全隔离内网和外网的通信以及细粒度的内容检测可以达到很强的安全性能。但是它的缺点也很突出，首先它对网络性能影响很大，其次是必须为每一种服务实现一个代理所造成的开发上的麻烦,最后是应用代理防火墙对用户配置所造成的麻烦。所以应用代理防火墙的厂商也不断的想办法提高自己的性能增强自己的竞争力，另一方面也逐步向透明代理过渡以方便用户的使用。 混合型防火墙（Hybrid） 由于希望防火墙在功能和处理上能进行融合，保证完善的应用。许多厂家提出了混合型防火墙的概念。他们认为混合型防火墙应该是动态包过滤和透明代理的有机结合，可以做到用户无需知道给他提供服务的到底是用了那些技术，而防火墙根据不同的服务要求提供用户的使用要求和安全策略。而且为了保证性能只有必须使用应用代理才能实现的功能才使用代理。 全状态检测防火墙（Full State Inspection） 这是由一个知名防火墙厂家Checkpoint提出的一种新型防火墙，据Checkpoint关于firewall-1的技术文档介绍，该种防火墙既能具有包过滤的功能又能具有代理防火墙的安全性。Firewall-1拥有一个强大的检测模块（Inspection Model）,该模块可以分析所有的包通信层，并提取相关的通信及应用状态信息。Firewall-1的检查模块位于操作系统的核心，位于链路层和网络层之间，因此任何包未通过该模块检验通过之前将不会交给更高的协议层处理。据说状态检测可以支持所有主要的因特网服务和上百种应用程序，如e-mail,FTP,Telnet,Orable SQL*Net数据库存取和新兴的多媒体应用程序如RealAudio,VDOLive。 自适应代理防火墙 这是Network Associate公司提出的号称新一代防火墙——“自适应代理防火墙“。在自适应防火墙中，在每个连接通信的开始仍然需要在应用层接受检测，而后面的包可以经过安全规则由自适应代理程序自动的选择是使用包过滤还是代理。自适应代理模块是依靠动态包过滤模块来得知通信连接的情况，当一个连接到来时，动态包过滤将通知代理并提供源和目的的信息，然后自适应代理根据管理员关于“安全与性能“选择的配置来灵活的为每一个连接指定相应的策略。 在自适应代理中，动态包过滤允许代理要求新连接的通知，接着代理就可以检查每个具体的连接信息，告诉动态包过滤接下去应该对该包作如何处理，如丢弃，转发还是将包提到应用层检查。动态包过滤对每个连接所采用的过滤规则都是由代理自动调整的。 虽然Network Associate的这套自适应代理技术具有一定的先进性，但据说并未完全被该公司所实现，因此该公司的技术文档中很难有关于自适应代理的详细的资料。 国外防火墙实现技术分析 由于国外的网络安全要比我们国内发展得早，而且国外的软硬件技术水平也要比国内高出一节，因此国外的防火墙产品自然比国内的产品要更加成熟和先进。所以我这里将国外防火墙中所运用的先进技术提出来加以分析。这些技术主要分成以下三大类。 性能实现 随着网络速度的不断提升，防火墙的性能越来越成为国外厂家关注的问题，他们一般主要从硬件，操作系统和检测方法方面作改进。 专用硬件 使用专用的硬件以NetScreen防火墙最为典型，NetScreen防火墙之所以具有很好的性能是和采用专用硬件设计是分不开的。在每个NetScreen设备中，都有ASIC(Application Specific Integrated Circuit)芯片，这些专用的ASIC芯片主要用来起到加速防火墙策略检查，加密，认证，以及PKI过程功能。例如，所有的规则都存储在一个特定的存储区里，当硬件引擎每次需要检查规则时，就去扫描存储区。因此检查一条规则或20条以上的规则并不会使性能有什么重大的不同。 另一方面，为了使硬件和软件处理达到最佳配合，NetScreen使用了高速的多总线体系结构，该体系结构中每个ASIC芯片都配有一个RSIC处理器，SDRAM和以太网