防火墙的现状与发展趋势.doc

编者按:近年来，网络安全市场呈现出产业化的格局，我国各行业的网络安全应用已经进入了高速发展时期。以电子政务网络建设为例，据专家预测，未来几年网络安全以及与安全相关的设备投资将占到电子政务网总投资的20％到30％。此外，电子商务、行业信息化的发展也对网络安全提出了很大的需求。

8月22日，以“阳光护航”为主题的网络安全解决方案高峰会在华为公司深圳总部举行，启明星辰、RSA、瑞星等业内知名安全厂商到会支持。来自全国各地的近百位行业信息安全方面的主管领导参加了此次会议。华为公司和与会代表一起探讨了目前网络存在的一些安全问题和整体解决之道，并全面阐述了华为在电子政务、电力、电子商务及中小企业方面的网络安全解决方案。会上，中科院院士何德全、安全领域权威专家何义大、卿斯汉等做了精彩演讲。我们在此选编一篇会议论文，供关注防火墙领域的读者借鉴。

近几年来，我国国内的网络建设速度发展很快。几大运营商都构建了遍布全国的高速骨干和城域网。随着网络基础建设的完善，网络应用也迅速扩大，从而网络安全问题也日益突出。与此同时，我国政府对信息安全问题也日益重视，2002年4月，全国信息安全标准化技术委员会在北京正式成立，曲维枝副部长亲自担任标委会主任。一系列安全方面的法规已经发布或者正在制定中，例如在金融行业，国家已经规定银行信息系统建设用于信息安全的投资不得小于总投资的15％。

当然，我国目前的网络状况还远远不够安全，而且大部分网上应用的软硬件产品都不具备自主知识产权，这也是当前一些重要应用不得不采用物理隔离的原因。在安全产品提供商方面，我国的信息安全产业，大部分是中小型企业，实力相对薄弱。近期，以华为为首的一些有相当技术实力的厂家，决心进军信息安全领域，我认为这是一个可喜的现象，必将促进我国信息安全产业的发展，提高我国信息安全的整体水平。

网络安全涉及到通信和网络、密码学、芯片、操作系统、数据库等多方面技术，以及除技术以外的应用和安全管理等多个环节。就网络安全产品而言，主要分为以下几类：3A类产品(Authentication，AuthorizationandAdministration)、安全操作系统、安全隔离与信息交换系统、安全Web、反病毒产品、IDS(入侵检测)和弱点评估产品、防火墙、VPN、保密机、PKI等。

其中，防火墙是网络安全的第一道屏障，在网络安全防护措施中，防火墙一般也被作为首选，因此，在安全市场上，防火墙所占的市场份额最大，其相关的各种技术也相对比较成熟。随着安全市场的引爆，防火墙市场也在迅猛发展，据IDC统计，1996年，全球防火墙产值只有1.5亿美元，到2002年，已经达到31亿美元，预计到2005年将达到55亿美元。下面就防火墙的现状与发展趋势做重点阐述。

防火墙的应用现状

1.防火墙现状概说

附图是一个防火墙典型应用的示意图。

防火墙的功能主要包含以下几个方面：访问控制，如应用ACL进行访问控制；攻击防范，如防止SYNFLOOD等；NAT；VPN；路由；认证和加密;日志记录;支持网管等。此外为了保证可靠性，支持双机或多机热备份；为了满足日益增多的语音、视频等需求，对QoS特性的支持和对H.323、SIP等多种应用协议的支持也必不可少。

为了满足多样化的组网需求，方便用户组网，同时也降低用户对其他专用设备的需求，减少用户建网成本，防火墙上也常常把其他网络技术结合进来，例如支持DHCPSERVER、DHCPRELAY；支持动态路由，如RIP、OSPF等；支持拨号、PPPoE等特性；支持广域网口；支持透明模式(桥模式);支持内容过滤(如URL过滤)、防病毒和IDS等功能。防火墙与其他安全设备或安全模块之间进行互动，已经成为新一代防火墙的发展趋势。

但是，目前防火墙应用中的问题也不少。如目前许多防火墙对内容过滤，防病毒和IDS等的支持，实际的应用效果并不好。因为在这些功能支持的情况下，过滤会涉及到应用层包分析，对CPU的消耗很大。这些功能的启动，会导致性能急剧下降，本来100M的处理能力，可能会下降到几兆，导致网络严重阻塞甚至瘫痪，失去了防火墙存在的意义。

2.包过滤防火墙和代理

防火墙的发展，经历了从早期的简单包过滤，到今天广泛应用的状态包过滤技术和应用代理。其中状态包过滤技术因为其安全性较好，速度快，得到最广泛的应用。应用代理虽然安全性更好，但它需要针对每一种协议开发特定的代理协议，对应用的支持不够好。从国外公开的防火墙测试报告来看，代理防火墙性能表现比较差，因此在网络带宽迅猛发展的情况下，已经不能完全满足需要。

此外，有的防火墙支持SOCK代理，这种代理屏蔽了协议本身，只要客户端支持SOCK代理，该应用在防火墙上就可以穿越。这种代理对于部分不公开的协议，如QQ的语音和