防火墙发展的新趋势.docVIP

防火墙发展的新趋势 　　摘要:防火墙是一个由软件和硬件设备组合而成,在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它广泛应用于互联网,已经成为安全防范的主流产品。文章论述了防火墙的定义,防火墙的发展史与局限性,以及将防火墙技术、入侵检测技术、病毒检测技术等有效融合,协同完成保护网络安全的任务等防火墙发展的新趋势。 　　关键词:防火墙;网关;网络安全;入侵检测技术;病毒检测技术 　　中图分类号:TP393文献标识码:A文章编号:1009-2374#8197;(2010)13-0036-02 　　 　　一、防火墙的定义 　　防火墙是一个由软件和硬件设备组合而成,在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种计算机硬件和软件的结合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。 　　防火墙根据不同角度可划分为不同的类型:从产品形态上可划分为软件防火墙、硬件防火墙、芯片级防火墙;从采用技术不同可划分包过滤型防火墙、代理型防火墙、监测型防火墙;从网络体系结构可划分为网络级防火墙、应用级防火墙、电路级防火墙、规则检查防火墙;从应用部署可划分为边界防火墙、个人防火墙、混合式防火墙。 　　防火墙可实现如下功能:强化互联网安全策略,所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外;限制他人进入内部网络,过滤掉不安全的服务和非法用户;限定人们访问特殊站点;对网络存取和访问进行监控审计,有效地记录互联网上的活动并作日志记录,同时提供网络使用情况的统计数据等。 　　二、防火墙的发展史与局限性分析 　　防火墙无论是从技术还是产品发展的历程上,在时间上都经历了以下五个发展阶段: 　　(一)第一代防火墙 　　20世纪80年代,最早的防火墙几乎与路由器同时出现,第一代防火墙主要基于包过滤技术,是依附于路由器的包过滤功能实现的防火墙,它是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。随着网络安全重要性和性能要求的提高,防火墙渐渐发展为一个独立结构的、有专门功能的设备。 　　(二)第二、三代防火墙 　　1989年,贝尔实验室推出了第二代即电路层防火墙,同时提出第三代防火墙即应用层防火墙的初步结构。由于第一代和第二代防火墙的安全性,而第三代防火墙能够对应用进行检查。到20世纪90年代初,第三代防火墙面世,又称为代理防火墙。 　　(三)第四代防火墙 　　1992年,南加州大学开发出了基于动态包过滤技术的第四代防火墙。后来演变成为目前所说的状态监视技术。1994年第一个基于这种技术的防火墙商业产品在以色列诞生。 　　(四)第五代防火墙 　　1998年一种采用自适应代理技术的防火墙出现,它为代理类型的防火墙赋予了全新的意义,被称为第五代防火墙。 　　经过数年的发展,传统防火墙技术成为了在内部网与外部网之间实施防范的极佳选择。尽管如此,防火墙技术也存在一定的局限性: 　　1.不能安全防范外部黑客攻击。新的安全威胁不断出 　　现,黑客已能够穿透防火墙进行网络攻击。 　　2.不能防止IP地址欺骗(如监用IP地址)。所有防火墙都具有IP地址过滤功能,这项任务要检查IP包头,根据其IP源地址和目标地址做出“放行/丢弃”的决定。 　　3.不能防范内部用户的攻击。如果允许从受保护的网络内部向外拨号,一些用户就可能形成与互联网的直接连接,而内部用户被防火墙认为是可信的。 　　4.无法检测加密的Web流量。由于网络防火墙对于加密的SSL流中数据是不可见的,防火墙无法迅速截获SSL数据流并对其解密,因此无法阻止应用程序的攻击。 　　5.不具备检查包负载的能力。防火墙对每一个数据包进行检查,但病毒、蠕虫、木马等恶意应用程序能未经检查而通过,很难防止病毒或者受病毒感染的文件的传输。 　　因此,尽管防火墙的发展基本趋于成熟并广泛应用于社会各界成为安全防范的主流产品,但是随着网络的快速发展防火墙的局限性必然不断催生新技术,使防火墙展现出了更具实用性和安全性的新趋势。 　　三、防火墙发展的新趋势 　　(一)适应新需求 　　现代办公方式和生活方式的转变,使得远程办公越来越普及,面对远程办公的新形式,防火墙技术面临新的挑战。一来我们需要更安全的防火墙技术,二来如何解决防火墙与远程办公的关系,面临局域网总出入口与各个分点的关系,使得防火墙需要完善的功能进一步复杂化。具体的应对方法可以考虑将单位局域网防火墙设置为一层总防火墙,各个远程办公分点设置为二层子集防火墙。或者对应一层总防火墙要根据远程办公具体特点要有相应的追踪功能,可以保证分点的办公和通讯也是安全的。 　　信息的高速发展使得也办公生活节奏都大大增高,对高