简介： 防火墙还分类吗?防火墙处于5层 |* 安全体系中的更底层，属于 |* 层安全技术范畴。在这一层上，企业对安全 体系提出的 难题是：所有的IP是否都能访问到企业的内部 |* 体系...

防火墙还分类吗?

防火墙处于5层 |* 安全体系中的更底层，属于 |* 层安全技术范畴。在这一层上，企业对安全 体系提出的 难题是：所有的IP是否都能访问到企业的内部 |* 体系？如果答案是 “是”，则说明企业内部网还没有在 |* 层采取相应的防范措施。

----作为内部 |* 与外部公共 |* 之间的 其中一个道屏障，防火墙是更先受到 大众重视的 |* 安全产品 其中一个。虽然从 学说上看，防火墙处于 |* 安全的更底层，负责 |* 间的安全认证与传输，但随着 |* 安全技术的整体 进步和 |* 应用的不断变化，现代防火墙技术已经逐步走向 |* 层之外的其他安全层次，不仅要完成传统防火墙的过滤任务，同时还能为各种 |* 应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等 路线 进步。

----根据防火墙所采用的技术不同，我们可以将它分为三种基本类型：包过滤型、 |* 型和监测型。

----1．包过滤型

----包过滤型产品是防火墙的初级产品，其技术依据是 |* 中的分包传输技术。 |* 上的数据都是以“包”为单位进行传输的，数据被分割成为一定 大致的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、 TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包” 是否来自可 信赖的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。 体系管理员也可以根据实际情况灵活制订判断 制度。

----包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证 体系的安全。

----但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于 |* 层的安全技术，只能根据数据包的来源、目标和端口等 |* 信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。

----2． |* 型

---- |* 型防火墙也可以被称为 |* 服务器，它的安全性要高于包过滤型产品，并已经开始向应用层 进步。 |* 服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看， |* 服务器相当于一台真正的服务器；而从服务器来看， |* 服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给 |* 服务器， |* 服务器再根据这一请求向服务器索取数据， 接着再由 |* 服务器将数据传输给客户机。 由于外部 体系与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部 |* 体系。

---- |* 型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都 特别有效。其缺点是对 体系的整体性能有较大的影响，而且 |* 服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了 体系管理的复杂性。

----3．监测型

----监测型防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，这种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他 |* 的节点之中，不仅能够检测来自 |* 外部的攻击，同时对来自内部的恶意破坏也有极强的防范 影响。据权威机构统计，在针对 |* 体系的攻击中，有相当比例的攻击来自 |* 内部。因此，监测型防火墙不仅超越了传统防火墙的定义，而且在安全性上也超越了前两代产品。

随着internet 进步的势头和防火墙的更新，防火墙的哪些功能将被取代

防火墙未来的技术 进步 动向

随着新的 |* 攻击的出现，防火墙技术也有一些新的 进步 动向。这主要可以从包过滤技术、防火墙体系结构和防火墙 体系管理三方面来体现。

1. 防火墙包过滤技术 进步 动向

（1）. 一些防火墙厂商把在AAA 体系上运用的用户认证及其服务扩展到防火墙中，使其拥有可以支持基于用户角色的安全策略功能。该功能在 |* 应用中非常必要。具有用户身份验证的防火墙通常是采用应用级 技术的，包过滤技术的防火墙不具有。用户身份验证功能越强，它的安全级别越高，但它给 |* 通信带来的负面影响也越大， 由于用户身份验证需要 时刻，特别是加密型的用户身份验证。

（2）. 多级过滤技术

所谓多级过滤技术，是指防火墙采用多级过滤措施，并辅以鉴别手段。在分组过滤（ |* 层）一级，过滤掉所有的源路由分组和假冒的IP源地址；在传输层一级，遵循过滤 制度，过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等；在应用 （应用层）一级，能利用FTP、 |* TP等各种 ，控制和监测Internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术，它可以弥补以上各种单独过滤技术的不足。

这种过滤技术在分层上非常清楚，每种过滤技术对应于不同的 |* 层，从这个概念出发，又有很多内容可以扩展，为将来的防火墙技术 进步打下基础。

（3）. 使防火墙具有病毒防护功能。现在通常被称之为病毒防火墙，当然目前主要还是在个人防火墙中体现， 由于它是纯软件形式，更容易实现。这种防火墙技术可以有效地防止病毒在 |* 中的传播，比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少公司的损失。

2. 防火墙的体系结构 进步 动向

随着 |* 应用的增加，对 |* 带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外，在以后几年里，多媒体应用将会越来越普遍，它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要，一些防火墙制造商开发了基于ASIC的防火墙和基于 |* 处理器的防火墙。从执行速度的角度看来，基于 |* 处理器的防火墙也是基于软件的解决方案，它需要在很大程度上依赖于软件的性能， 然而 由于这类防火墙中有一些专门用于处理数据层面任务的引擎，从而减轻了CPU的负担，该类防火墙的性能要比传统防火墙的性能好许多。

与基于ASIC的纯硬件防火墙相比，基于 |* 处理器的防火墙具有软件色彩，因而更加具有灵活性。基于ASIC的防火墙使用专门的硬件处理 |* 数据流，比起前两种类型的防火墙具有更好的性能。 然而纯硬件的ASIC防火墙缺乏可编程性，这就使得它缺乏灵活性，从而跟不上防火墙功能的快速 进步。理想的解决方案是增加ASIC芯片的可编程性，使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。

3. 防火墙的 体系管理 进步 动向

防火墙的 体系管理也有一些 进步 动向，主要体现在 下面内容 几许方面：

（1）. 首先是集中式管理，分布式和分层的安全结构是将来的 动向。集中式管理可以降低管理成本，并保证在大型 |* 中安全策略的一致性。快速响应和快速防御也要求采用集中式管理 体系。目前这种分布式防火墙早已在Cisco（思科）、3Com等大的 |* 设备开发商中开发成功，也就是目前所称的分布式防火墙和嵌入式防火墙。关于这一新技术在本篇下面将详细介绍。

（2）. 强大的审计功能和自动日志分析功能。这两点的应用可以更早地发现潜在的威胁并预防攻击的发生。日志功能还可以管理员有效地发现 体系中存的安全漏洞，及时地调整安全策略等各方面管理具有非常大的帮助。不过具有这种功能的防火墙通常是比较 高 质量的，早期的静态包过滤防火墙是不具有的。

（3）. |* 安全产品的 体系化

随着 |* 安全技术的 进步，现在有一种提法，叫做建立以防火墙为核心的 |* 安全体系。 由于我们在现实中发现，仅现有的防火墙技术难以满足当前 |* 安全需求。通过建立一个以防火墙为核心的安全体系，就可以为内部 |* 体系部署多道安全防线，各种安全技术各司其职，从各方面防御外来入侵。

如现在的IDS设备就能很好地与防火墙一起联合。一般情况下，为了确保 体系的通信性能不受安全设备的影响太大，IDS设备不能像防火墙一样置于 |* 入口处，只能置于旁路位置。而在实际使用中，IDS的任务往往不仅在于检测，很多时候在IDS发现入侵行为以后，也需要IDS本身对入侵及时遏止。显然，要让处于旁路侦听的IDS完成这个任务又太难为，同时主链路又不能串接太多类似设备。在这种情况下，如果防火墙能和IDS、病毒检测等相关安全产品联合起来，充分发挥各自的长处，协同配合，共同建立一个有效的安全防范体系，那么 体系 |* 的安全性就能得以明显提升。

目前主要有两种解决办法：一种是直接把IDS、病毒检测部分直接做到防火墙中，使防火墙具有IDS和病毒检测设备的功能；另一种是各个产品分立，通过某种通讯方式形成一个整体，一旦发现安全事件，则立即通知防火墙，由防火墙完成过滤和报告。目前更看重后一种方案， 由于它实现方式较前一种容易许多。

三、分布式防火墙技术

在前面已提到一种新的防火墙技术，即分布式防火墙技术已在逐渐兴起，并在国外一些大的 |* 设备开发商中得到了实现， 由于其优越的安全防护体系，符合未来的 进步 动向， 因此这一技术一出现便得到许多用户的认可和接受。下面我们就来介绍一下这种新型的防火墙技术。

由于传统的防火墙设置在 |* 边界，外于内、外部互联网之间， 因此称为边界防火墙（Perimeter Firewall）。随着 大众对 |* 安全防护要求的 进步，边界防火墙明显感觉到力不从心， 由于给 |* 带来安全威胁的不仅是外部 |* ，更多的是来自内部 |* 。但边界防火墙无法对内部 |* 实现有效地保护，除非对每一台主机都安装防火墙，这是不可能的。基于此，一种新型的防火墙技术，分布式防火墙（Distributed Firewalls）技术产生了。它可以很好地解决边界防火墙以上的不足，当然不是为每对路主机安装防火墙，而是把防火墙的安全防护 体系延伸到 |* 中各对台主机。一方面有效地保证了用户的投资不会很高，另一方面给 |* 所带来的安全防护是非常全面的。

我们都知道，传统边界防火墙用于限制被保护企业内部 |* 与外部 |* （通常是互联网）之间相互进行信息存取、传递操作，它所处的位置在内部 |* 与外部 |* 之间。实际上，所有以前出现的各种不同类型的防火墙，从简单的包过滤在应用层 |* 以至自适应 |* ，都是基于一个共同的假设，那就是防火墙把内部 |* 一端的用户看成是可 信赖的，而外部 |* 一端的用户则都被作为潜在的攻击者来对待。而分布式防火墙是一种主机驻留式的安全 体系，它是以主机为保护对象，它的设计理念是主机以外的任何用户访问都是不可 信赖的，都需要进行过滤。当然在实际应用中，也不是要求对 |* 中每对台主机都安装这样的 体系，这样会严重影响 |* 的通信性能。它通常用于保护企业 |* 中的关键结点服务器、数据及 职业站免受非法入侵的破坏