防火墙的现状与发展趋势分析

网络安全涉及到通信和网络、密码学、芯片、操作系统、数据库等多方面技术。目前的网络安全产品，主要分为以下几类：3A类产品、安全操作系统、安全隔离与信息交换系统、安全WEB、反病毒产品、IDS和弱点评估产品、防火墙、VPN、保密机、PKI等。其中，防火墙是网络安全的第一道屏障，所占市场，安全技术也比较成熟。下面就防火墙的现状与发展趋势作重点阐述。
　　防火墙的功能

　　从防火墙的功能来说，主要包含以下几个方面：访问控制，如应用ACL进行访问控制；攻击防范，如防止 SYN FLOOD 等； NAT; VPN ；路由；认证和加密；日志记录；支持网管等。

　　为了满足多样化的组网需求，降低用户对其它专用设备的需求，减少用户建网成本，防火墙上也常常把其它网络技术结合进来，例如支持 DHCP SERVER ， DHCP RELAY;支持动态路由，如RIP，OSPF等；支持拨号， PPPOE 等特性；支持广域网口；支持透明模式(桥模式)；支持内容过滤(如URL过滤)、防病毒和IDS等功能。

　　防火墙的发展，经历了从早期的简单滤，到今天广泛应用的状态滤技术和应用代理。其中状态滤技术因为其安全性较好，速度快，得到最广泛的应用。

　　应用代理虽然安全性更好，但它需要针对每一种协议开发特定的代理协议，对应用的支持不够好。但关键的是，它的性能比较差，从国外公开的防火墙测试报告来看，代理防火墙性能表现比较差，因此在网络带宽迅猛发展的情况下，已经不能完全满足需要。

　　此外，有的防火墙支持SOCK代理，这种代理屏蔽了协议本身，只要客户端支持SOCK代理，该应用在防火墙上就可以穿越。这种代理对于部分不公开的协议，如QQ的语音和视频协议，采用其它技术，在NAT情况下很难实现对该协议的支持，但QQ软件本身支持SOCK代理，如果防火墙支持SOCK代理协议，就可以实现对防火墙的穿越。但对于防火墙而言，不参与协议解码，也意味着防火墙对该协议失去了监测能力。

　　状态检测技术

　　状态检测技术要监视每个连接发起到结束的全过程，对于部分协议，如FTP、 H.323等协议，是有状态的协议，防火墙必须对这些协议进行分析，以便知道什么时候，从哪个方向允许特定的连接进入和关闭。

　　状态防火墙可以对特定的协议进行解码，因此安全性也比较好。有的防火墙可以对FTP、SMTP等有害命令进行检测和过滤，但因为在应用层解码分析，处理速度比较慢，为此，有的防火墙采用自适应方式，因此处理速度很快。

　　状态防火墙还有一个特色是，当检测到SYN FLOOD攻击时，会启动代理。此时，如果是伪造源IP的会话，因为不能完成三层握手，攻击报文就无法到达服务器，但正常访问的报文仍然可达。