防火墻知識介紹培訓(xùn)講學(xué)

1、防火墻知識介紹網(wǎng)絡(luò)安全現(xiàn)狀網(wǎng)絡(luò)安全現(xiàn)狀 隨著信息化進程的深入和互聯(lián)網(wǎng)的迅速發(fā)展，網(wǎng)絡(luò)安全問題已成為信息時代人類共同面臨的挑戰(zhàn)，國內(nèi)的網(wǎng)絡(luò)安全問題也日益突出。具體表現(xiàn)為： 計算機系統(tǒng)受病毒感染和破壞的情況相當(dāng)嚴重 電腦黑客活動已形成重要威脅 信息基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)安全的挑戰(zhàn) 信息系統(tǒng)在預(yù)測、防范、反應(yīng)和恢復(fù)能力方面存在許多薄弱環(huán)節(jié) 網(wǎng)絡(luò)政治顛覆活動頻繁 網(wǎng)絡(luò)安全現(xiàn)狀網(wǎng)絡(luò)安全現(xiàn)狀 據(jù)統(tǒng)計，目前美國每年由于網(wǎng)絡(luò)安全問題而遭受的經(jīng)濟損失超過170億美元，德國、英國也均在數(shù)十億美元以上，法國為100億法郎，日本、新加坡問題也很嚴重。在國際刑法界列舉的現(xiàn)代社會新型犯罪排行榜上，計算機犯罪已名列榜首。 200

2、3年，CSI/FBI調(diào)查所接觸的524個組織中，有56%遇到電腦安全事件，其中38%遇到15起、16%以上遇到11起以上。因與互聯(lián)網(wǎng)連接而成為頻繁攻擊點的組織連續(xù)3年不斷增加；遭受拒絕服務(wù)攻擊(DoS)則從2000年的27%上升到2003年的42%。調(diào)查顯示，521個接受調(diào)查的組織中96%有網(wǎng)站，其中30%提供電子商務(wù)服務(wù)，這些網(wǎng)站在2003年1年中有20%發(fā)現(xiàn)未經(jīng)許可入侵或誤用網(wǎng)站現(xiàn)象。更令人不安的是，有33%的組織說他們不知道自己的網(wǎng)站是否受到損害。據(jù)統(tǒng)計，全球平均每20s就發(fā)生1次網(wǎng)上入侵事件，黑客一旦找到系統(tǒng)的薄弱環(huán)節(jié)，所有用戶均會遭殃。 國內(nèi)網(wǎng)絡(luò)安全現(xiàn)狀國內(nèi)網(wǎng)絡(luò)安全現(xiàn)狀 從國內(nèi)情況來

3、看，目前我國95%與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡(luò)管理中心都遭受過境內(nèi)外黑客的攻擊或侵入，其中銀行、金融和證券機構(gòu)是黑客攻擊的重點。 據(jù)2001年調(diào)查，我國約73%的計算機用戶曾感染病毒，2003年上半年升至83%。其中，感染3次以上的用戶高達59%，而且病毒的破壞性較大，被病毒破壞全部數(shù)據(jù)的占14%，破壞部分數(shù)據(jù)的占57%。 近年來，國內(nèi)與網(wǎng)絡(luò)有關(guān)的各類違法行為以每年30%的速度遞增。據(jù)某市信息安全管理部門統(tǒng)計，2003年第1季度內(nèi)，該市共遭受近37萬次黑客攻擊、2.1萬次以上病毒入侵和57次信息系統(tǒng)癱瘓。 網(wǎng)絡(luò)風(fēng)險網(wǎng)絡(luò)風(fēng)險 業(yè)內(nèi)安全專家公認：所謂的“周界殺手”蠕蟲和“零日攻擊”將大量增加，這將是目前及今

4、后網(wǎng)絡(luò)安全面臨的最大威脅。 （“周界殺手”：那些不通過傳統(tǒng)的電子郵件方式傳播而是通過進攻系統(tǒng)、軟件的漏洞而對網(wǎng)絡(luò)實施攻擊的病毒軟件） （“零日攻擊”： 病毒或蠕蟲利用操作系統(tǒng)或者軟件某個未知和未修補的漏洞發(fā)起攻擊） 基于“零日”漏洞而制造的一種“沖擊波”式的蠕蟲可以毀壞計算機網(wǎng)絡(luò)，并使管理人員對網(wǎng)絡(luò)保護束手無策。 部署防火墻的必要性部署防火墻的必要性 基于目前網(wǎng)絡(luò)安全的現(xiàn)狀，為了保證網(wǎng)絡(luò)的安全，防止機密信息被盜取，各企業(yè)、政府機關(guān)、高校等均紛紛采取相應(yīng)的安全措施，而防火墻則一般是眾多網(wǎng)絡(luò)安全產(chǎn)品中首要考慮的重要一環(huán)，是網(wǎng)絡(luò)的第一道安全門坎。提綱提綱 網(wǎng)絡(luò)安全現(xiàn)狀 防火墻概念防火墻概念 防火墻關(guān)

5、鍵技術(shù) 防火墻功能一覽 防火墻性能指標 防火墻發(fā)展及趨勢什么是防火墻什么是防火墻信任網(wǎng)絡(luò)非信任網(wǎng)絡(luò)網(wǎng)絡(luò)的唯一通路防火墻，F(xiàn)irewall，是一種高級訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進出網(wǎng)絡(luò)的行為，本身具有較強的抗網(wǎng)絡(luò)攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 防火墻的分類防火墻的分類 從產(chǎn)品形式上分為： 軟件防火墻：純軟件防火墻，安裝在操作系統(tǒng)之上 硬件防火墻：硬件/軟件一體化防火墻（X86結(jié)構(gòu)）、ASIC芯片級防火墻、網(wǎng)絡(luò)處理器（Network Processo

6、r，NP處理器）架構(gòu)防火墻 從部署位置上分為： 網(wǎng)關(guān)防火墻：邊界防火墻，部署于網(wǎng)絡(luò)邊界出口處 個人防火墻：多為軟件防火墻，安裝在單個主機系統(tǒng)上 分布式防火墻：包括邊界防火墻、主機防火墻以及集中管理平臺，把防火墻的安全防護系統(tǒng)延伸到網(wǎng)絡(luò)中各臺主機，準確地說，它不是一個單一的產(chǎn)品，而是一個完整的體系防火墻的分類防火墻的分類 從產(chǎn)品性能上分為： 百兆防火墻 千兆防火墻 從發(fā)展歷程上分為： 包過濾防火墻：基本包過濾訪問控制功能，安全性差 應(yīng)用代理防火墻：應(yīng)用代理功能，支持應(yīng)用層內(nèi)容級控制，但是支持協(xié)議有限 狀態(tài)檢測防火墻：跟蹤網(wǎng)絡(luò)會話狀態(tài)實現(xiàn)訪問控制，性能好，安全性高 復(fù)合型防火墻：結(jié)合狀態(tài)檢測、應(yīng)用

7、代理以及眾多其他功能，功能強大，安全性高提綱提綱 網(wǎng)絡(luò)安全現(xiàn)狀 防火墻概念 防火墻關(guān)鍵技術(shù)防火墻關(guān)鍵技術(shù) 防火墻功能一覽 防火墻性能指標 防火墻發(fā)展及趨勢（一）包過濾訪問控制（一）包過濾訪問控制源目標許可協(xié)議Host AHost C允許TCPHost BHost C阻止UDPHost CHost AHost D數(shù)據(jù)包數(shù)據(jù)包拆數(shù)據(jù)包查詢控制策略根據(jù)策略決定如何處理數(shù)據(jù)包數(shù)據(jù)包IP包頭TCP/udp包頭 數(shù)據(jù)包過濾的判斷信息數(shù)據(jù)包包過濾工作原理包過濾工作原理應(yīng)用層TCP層 I P 層網(wǎng)絡(luò)接口層應(yīng)用層TCP層 I P 層網(wǎng)絡(luò)接口層數(shù)據(jù)數(shù)據(jù)TCPIP數(shù)據(jù)TCPETHIP數(shù)據(jù)TCP數(shù)據(jù)IP數(shù)據(jù)TCPET

8、HIP數(shù)據(jù)TCP數(shù)據(jù)TCPIP數(shù)據(jù)TCP只檢查包頭 IP 源地址 IP目的地址 封裝協(xié)議 TCP/UDP源端口 TCP/UDP目的端口 ICMP包類型 包輸入接口 包輸出接口（二）狀態(tài)檢測工作原理（二）狀態(tài)檢測工作原理Host A數(shù)據(jù)包數(shù)據(jù)包拆數(shù)據(jù)包查詢控制策略根據(jù)策略決定如何處理數(shù)據(jù)包數(shù)據(jù)包IP包頭TCP包頭數(shù)據(jù)數(shù)據(jù)包控制策略狀態(tài)檢測可以結(jié)合前一數(shù)據(jù)包里的數(shù)據(jù)信息進行綜合分析，以此來判別數(shù)據(jù)包是否允許通過。IP包頭TCP包頭數(shù)據(jù)IP包頭TCP包頭數(shù)據(jù)狀態(tài)檢測的判斷信息建立連接狀態(tài)表狀態(tài)檢測工作原理狀態(tài)檢測工作原理應(yīng)用層TCP層 I P 層網(wǎng)絡(luò)接口層應(yīng)用層TCP層 I P 層網(wǎng)絡(luò)接口層數(shù)據(jù)數(shù)據(jù)

9、TCPIP數(shù)據(jù)TCPETHIP數(shù)據(jù)TCP數(shù)據(jù)IP數(shù)據(jù)TCPETHIP數(shù)據(jù)TCP數(shù)據(jù)TCPIP 數(shù) 據(jù) TCP只檢查包頭建立連接狀態(tài)表檢查檢查 IP 源地址 IP目的地址 封裝協(xié)議 TCP/UDP源端口 TCP/UDP目的端口 ICMP包類型 包輸入接口 包輸出接口 TCP通信的連接狀態(tài) UDP/ICMP通信的通信狀態(tài)（三）應(yīng)用代理的工作原理（三）應(yīng)用代理的工作原理Host CHost AHost D數(shù)據(jù)包數(shù)據(jù)包拆數(shù)據(jù)包查詢控制策略根據(jù)策略決定如何處理數(shù)據(jù)包數(shù)據(jù)包IP報頭TCP報頭數(shù)據(jù)包過濾及狀態(tài)檢測的判斷信息數(shù)據(jù)包控制策略應(yīng)用代理的判斷信息應(yīng)用代理可以對數(shù)據(jù)包的數(shù)據(jù)區(qū)進行分析，以此來判別數(shù)據(jù)包

10、是否允許通過。應(yīng)用代理工作原理應(yīng)用代理工作原理應(yīng)用層TCP層 I P 層網(wǎng)絡(luò)接口層應(yīng)用層TCP層 I P 層網(wǎng)絡(luò)接口層數(shù)據(jù)數(shù)據(jù)TCPIP數(shù)據(jù)TCPETHIP數(shù)據(jù)TCP數(shù)據(jù)IP數(shù)據(jù)TCPETHIP數(shù)據(jù)TCP數(shù)據(jù)TCPIP 數(shù) 據(jù) TCP只檢查數(shù)據(jù)（四）地址轉(zhuǎn)換（四）地址轉(zhuǎn)換 網(wǎng)絡(luò)地址轉(zhuǎn)換，Network Address Translation，簡稱NAT，是用于將一個地址域如專用Intranet映射到另一個地址域如Internet的標準方法。NAT對終端用戶是透明的，用于全球唯一注冊地址連接私有地址域到外部域。 RFC1597 “專用網(wǎng)絡(luò)地址分配”規(guī)定，以下地址為保留地址，路由器不在互聯(lián)網(wǎng)上對這

11、些地址進行路由選擇：--55--55--55 一般在內(nèi)部網(wǎng)絡(luò)均選用以上保留地址作為私有地址進行NAT，轉(zhuǎn)換成合法注冊地址訪問互聯(lián)網(wǎng)。地址轉(zhuǎn)換技術(shù)種類地址轉(zhuǎn)換技術(shù)種類 NAT技術(shù)有三種類型：靜態(tài)NAT(Static NAT)、動態(tài)地址NAT(Pooled NAT)、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（PortLevel NAT） 靜態(tài)NAT：內(nèi)部網(wǎng)絡(luò)中的每個主機都被永久映射成外部網(wǎng)絡(luò)中的某個合法的地址（一個公有地址對應(yīng)一個私有地址 ） 動態(tài)NAT：在外部網(wǎng)絡(luò)中定義了一系列的合

12、法地址，采用動態(tài)分配的方法分配給內(nèi)部網(wǎng)絡(luò)私有地址（多個公有地址對應(yīng)一大群私有地址） NAPT：把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上（一個公有地址對應(yīng)一大群私有地址）地址轉(zhuǎn)換工作原理地址轉(zhuǎn)換工作原理WANA:0S=0:2733D=:80B:0LAN-ALAN-BNAPT：/24 靜態(tài)NAT：0 S=:3236D=:80S=:3236D=:80S=202.2.2

13、.2:3236D=0:80網(wǎng)絡(luò)A中A主機訪問網(wǎng)絡(luò)B中B服務(wù)器www服務(wù)的NAT過程地址轉(zhuǎn)換的作用地址轉(zhuǎn)換的作用 解決IP地址不足的問題 隱藏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)，加強內(nèi)部網(wǎng)絡(luò)的安全提綱提綱 網(wǎng)絡(luò)安全現(xiàn)狀 防火墻概念 防火墻關(guān)鍵技術(shù) 防火墻功能一覽防火墻功能一覽 防火墻性能指標 防火墻發(fā)展及趨勢防火墻功能一覽（防火墻功能一覽（1） 訪問控制：根據(jù)數(shù)據(jù)包的源/目的IP地址、源/目的端口、協(xié)議、流量、時間等參數(shù)對數(shù)據(jù)包進行訪問控制 地址轉(zhuǎn)換：源地址轉(zhuǎn)換（SNAT）、目的地址轉(zhuǎn)換（DNAT）、雙向地址轉(zhuǎn)換（IP映射） 靜態(tài)路由/策略路由：靜態(tài)路由：基于目的地址的路由選擇；策略路由：基

14、于源地址和目的地址的策略路由選擇 工作模式：路由模式、網(wǎng)橋模式（交換/透明模式）、混雜模式（路由+網(wǎng)橋模式并存） 接入支持：防火墻接口類型一般有GBIC、以太網(wǎng)接口等；接入支持靜態(tài)IP設(shè)置、DHCP、PPPoE（比如ADSL接入）等防火墻功能一覽（防火墻功能一覽（2） VPN： 分為點到端傳輸模式（PPTP協(xié)議）和端到端隧道模式（IPSec，IPIP，GRE隧道），支持DES、3DES、Blowfish、AES、Cast128、Twofish等加密算法，支持MD5、SHA-1認證算法；VPN功能支持NAT穿越 IP/MAC綁定：IP地址與MAC地址綁定，防止IP盜用，防止內(nèi)網(wǎng)機器有意/無意搶占

15、關(guān)鍵服務(wù)器IP DHCP：內(nèi)置DHCP Server為網(wǎng)絡(luò)中計算機動態(tài)分配IP地址；DHCP Relay的支持能為防火墻不同端口的DHCP Server和計算機之間動態(tài)分配IP地址 虛擬防火墻：在一臺物理防火墻設(shè)備上提供多個邏輯上完全獨立的虛擬防火墻，每個虛擬防火墻為一個特定的用戶群提供安全服務(wù) 應(yīng)用代理：HTTP、FTP、SMTP等協(xié)議應(yīng)用代理，大多數(shù)內(nèi)容級過濾通過應(yīng)用代理實現(xiàn) 防火墻功能一覽（防火墻功能一覽（3） 認證支持：是指防火墻支持的身份認證協(xié)議，一般情況下具有一個或多個認證方案，如內(nèi)置用戶認證、數(shù)字證書、RADIUS、OTP、LDAP、SECURE ID、Kerberos、TACA

16、CS/TACACS等等。防火墻能夠為本地或遠程用戶提供經(jīng)過認證與授權(quán)的對網(wǎng)絡(luò)資源的訪問，防火墻管理員必須決定客戶以何種方式通過認證 ARP代理：防火墻代理應(yīng)答特定的ARP請求，在特殊網(wǎng)絡(luò)環(huán)境中可能用到該功能 內(nèi)容過濾：內(nèi)容級過濾，比如URL過濾、WEB網(wǎng)頁內(nèi)容過濾、Java/JavaScript/Active X控件過濾、FTP命令過濾、郵件過濾、入侵過濾（特征字匹配）等等 VLAN支持：支持802.1Q、VTP、Cisco專有的Trunk 封裝協(xié)議ISL，識別VLAN數(shù)據(jù)包，實現(xiàn)VLAN間的數(shù)據(jù)包轉(zhuǎn)發(fā) 協(xié)議/應(yīng)用支持：H.323、SIP、IPX、NETBEUI、AppleTalk、RIP、

17、OSPF 、BGP、DECnet、RTSP、VOIP、VOD、視頻會議、組播協(xié)議等等 防火墻功能一覽（防火墻功能一覽（4） 流量控制：流量控制，流量優(yōu)先級，帶寬允許條件下的優(yōu)先保障關(guān)鍵業(yè)務(wù)帶寬 防攻擊：防止各類TCP、UDP端口掃描，源路由攻擊，IP碎片包攻擊，DoS、DDoS攻擊，蠕蟲病毒以及其他網(wǎng)絡(luò)攻擊行為 內(nèi)置IDS：內(nèi)置IDS模塊，加強防火墻的防攻擊能力 內(nèi)置防病毒模塊：內(nèi)置防病毒模塊，在網(wǎng)關(guān)級進行病毒防護 內(nèi)置安全評估模塊：內(nèi)置安全評估模塊，對網(wǎng)絡(luò)中的計算機、網(wǎng)絡(luò)設(shè)備等進行漏洞掃描，做出安全評估分析，提供安全建議，及時彌補網(wǎng)絡(luò)中存在的安全隱患 安全產(chǎn)品聯(lián)動：防火墻與其他安全產(chǎn)品比如I

18、DS、Scanner、防病毒等的聯(lián)動功能 防火墻功能一覽（防火墻功能一覽（5） 鏈路備份/雙機熱備：在可靠性要求高的環(huán)境中，防火墻的多端口的鏈路備份以及雙機熱備功能提供了一個較好的解決方案 配置文件上傳/下載：配置文件的備份/恢復(fù)功能 SNMP：支持SNMP協(xié)議，方便網(wǎng)絡(luò)管理員對防火墻狀態(tài)進行監(jiān)控管理 負載均衡：分為鏈路負載均衡和服務(wù)器負載均衡 日志審計：日志存儲、備份、查詢、過濾、分析統(tǒng)計報表等 入侵響應(yīng)：日志記錄、消息框報警、郵件報警、聲音報警、發(fā)送SNMP Trap信息、手機短信報警等 提綱提綱 網(wǎng)絡(luò)安全現(xiàn)狀 防火墻概念 防火墻關(guān)鍵技術(shù) 防火墻功能一覽 防火墻性能指標防火墻性能指標 防火

19、墻發(fā)展及趨勢防火墻性能指標（防火墻性能指標（1） 吞吐量：吞吐量是指防火墻在不丟包的情況下能夠達到的最大包轉(zhuǎn)發(fā)速率。吞吐量越大，說明防火墻數(shù)據(jù)處理能力越強 延遲：延遲是指防火墻轉(zhuǎn)發(fā)數(shù)據(jù)包的延遲時間，延遲越低，防火墻數(shù)據(jù)處理速度越快 丟包率：丟包率是指在正常穩(wěn)定網(wǎng)絡(luò)狀態(tài)下，應(yīng)該被轉(zhuǎn)發(fā)由于缺少資源而沒有被轉(zhuǎn)發(fā)的數(shù)據(jù)包占全部數(shù)據(jù)包 的百分比。較低的丟包率，意味著防火墻在強大的負載壓力下，能夠穩(wěn)定地工作，以適應(yīng)各種網(wǎng)絡(luò)的復(fù)雜應(yīng)用和較大數(shù)據(jù)流量對處理性能的高要求 背對背（Back to Back）：是用于衡量網(wǎng)絡(luò)設(shè)備緩沖數(shù)據(jù)包能力的一個指標，指的是固定長度的數(shù)據(jù)幀以合法的最小幀間隔在傳輸媒介上突發(fā)一段較

20、短的時間（以太網(wǎng)標準規(guī)定最小幀間隔為96bits），一般以幀數(shù)多少來表示，背對背幀數(shù)越大，緩沖能力就越強。網(wǎng)絡(luò)上經(jīng)常有一些 應(yīng)用會產(chǎn)生大量的突發(fā)數(shù)據(jù)包（例如：NFS，備份，路由更新等），而且這樣的數(shù)據(jù)包的丟失可能會 產(chǎn)生更多的數(shù)據(jù)包，防火墻強大的緩沖能力可以減小這種突發(fā)數(shù)據(jù)對網(wǎng)絡(luò)造成擁塞等不良影響防火墻性能指標（防火墻性能指標（2） 平均無故障時間：平均無故障時間（MTBF）是指防火墻連續(xù)無故障正常運行的平均時間 并發(fā)連接數(shù)：并發(fā)連接數(shù)是防火墻能夠同時處理的點對點連接的最大數(shù)目，它反映出防火墻設(shè)備對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力，這個參數(shù)的大小直接影響到防火墻所能支持的最大信息點數(shù)

21、最大連接速率：是指在指定時間（比如1秒）內(nèi)防火墻能成功建立的最大連接數(shù)目 乍看并發(fā)連接數(shù)越大越好，其實不然：并發(fā)連接數(shù)的增大意味著對系統(tǒng)內(nèi)存資源的消耗 并發(fā)連接數(shù)的增大應(yīng)當(dāng)充分考慮CPU的處理能力 物理鏈路的實際承載能力將嚴重影響防火墻發(fā)揮出其對海量并發(fā)連接的處理能力 提綱提綱 網(wǎng)絡(luò)安全現(xiàn)狀 防火墻概念 防火墻關(guān)鍵技術(shù) 防火墻功能一覽 防火墻性能指標 防火墻發(fā)展及趨勢防火墻發(fā)展及趨勢（一）防火墻發(fā)展歷程（一）防火墻發(fā)展歷程 目前防火墻技術(shù)主要經(jīng)歷了四個發(fā)展歷程： 簡單包過濾技術(shù)階段 應(yīng)用代理網(wǎng)關(guān)技術(shù)階段 狀態(tài)檢測包過濾技術(shù)階段 復(fù)合型防火墻第一代簡單包過濾防火墻第一代簡單包過濾防火墻 優(yōu)點：

22、包過濾工作在網(wǎng)絡(luò)層和傳輸層，只對數(shù)據(jù)包的頭部信息進行控制，過濾效率較高，性能較好 缺點： 早期的包過濾技術(shù)無法分辨IP具體來源，即無法區(qū)分該IP處于內(nèi)部網(wǎng)絡(luò)還是外部網(wǎng)絡(luò)，這樣便不能防止IP欺騙 只對數(shù)據(jù)包的頭部信息進行過濾，不支持應(yīng)用層協(xié)議，訪問控制粒度粗糙，靈活性低 不能處理新的安全威脅，它不能跟蹤TCP狀態(tài)，所以對TCP層的控制有漏洞。比如當(dāng)它配置了僅允許從內(nèi)到外的TCP訪問時，一些以TCP應(yīng)答包的形式從外部對內(nèi)網(wǎng)進行的攻擊仍可以穿透防火墻 第二代應(yīng)用代理防火墻第二代應(yīng)用代理防火墻 優(yōu)點： 跟應(yīng)用層緊密結(jié)合，可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，對數(shù)據(jù)包的檢測能力比較強，具備應(yīng)用層內(nèi)容

23、級的高級訪問控制能力，安全性較高 缺點： 并發(fā)連接數(shù)低，吞吐量小，性能非常差。對于內(nèi)網(wǎng)的每個訪問請求，應(yīng)用代理都需要開一個單獨的代理進程；要保護內(nèi)網(wǎng)的Web服務(wù)器、數(shù)據(jù)庫服務(wù)器、文件服務(wù)器、郵件服務(wù)器，及業(yè)務(wù)程序等，就需要建立一個個的服務(wù)代理，以處理客戶端的訪問請求。這樣，應(yīng)用代理的處理延遲會很大，內(nèi)網(wǎng)用戶的正常訪問難以及時得到響應(yīng) 支持協(xié)議有限。針對每一種應(yīng)用都需要相應(yīng)的協(xié)議分析，應(yīng)用代理網(wǎng)關(guān)防火墻只能支持一些常見常用的協(xié)議，而針對眾多的其他協(xié)議、各行業(yè)的業(yè)務(wù)應(yīng)用難以支持，不用不夠廣泛第三代狀態(tài)檢測包過濾防火墻第三代狀態(tài)檢測包過濾防火墻 優(yōu)點： 狀態(tài)檢測防火墻在內(nèi)核部分建立狀態(tài)連接表，并利用

24、狀態(tài)表跟蹤每一個數(shù)據(jù)包的會話狀態(tài)，提供了完整的對傳輸層的控制能力，安全性較高 狀態(tài)監(jiān)測技術(shù)采用了一系列優(yōu)化技術(shù)，使防火墻性能大幅度提升 缺點： 與具體應(yīng)用結(jié)合程度較低，無法做到應(yīng)用層內(nèi)容級控制 對一些網(wǎng)絡(luò)攻擊、病毒難以防范，比如紅色代碼、nimda、沖擊波、振蕩波等。第四代復(fù)合型防火墻第四代復(fù)合型防火墻 優(yōu)點： 融合了狀態(tài)檢測、應(yīng)用代理技術(shù)，并結(jié)合了其他眾多輔助功能比如：用戶認證、VPN、IPMAC綁定、策略路由等等，安全性高，功能強大，適應(yīng)范圍廣泛 缺點： 使用應(yīng)用代理功能時，性能不夠高；使用包過濾功能時，由于不檢查數(shù)據(jù)包內(nèi)容，難以防范一些網(wǎng)絡(luò)攻擊、病毒入侵（二）防火墻發(fā)展趨勢（二）防火墻發(fā)

25、展趨勢 隨著新的網(wǎng)絡(luò)攻擊的出現(xiàn)，對防火墻的挑戰(zhàn)也越來越嚴峻，必然要求防火墻新技術(shù)的出現(xiàn)來滿足不斷增長的新需求。這主要可以從以下四個方面來體現(xiàn) ： 包過濾技術(shù) 硬件體系結(jié)構(gòu) 系統(tǒng)管理體制 產(chǎn)品聯(lián)動體系（1）過濾技術(shù)發(fā)展趨勢）過濾技術(shù)發(fā)展趨勢 采用多級過濾技術(shù)： 在網(wǎng)絡(luò)層，分組過濾掉所有的源路由攻擊數(shù)據(jù)包和假冒IP源地址的數(shù)據(jù)包； 在傳輸層，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和非法數(shù)據(jù)包、蠕蟲病毒等； 在應(yīng)用層，對數(shù)據(jù)包進行協(xié)議分析并還原，控制和監(jiān)測Internet提供的常見服務(wù)，比如HTTP、FTP、SMTP等，提供細粒度內(nèi)容級過濾。 深度包檢測技術(shù)深度包檢測技術(shù) 下一代過濾技術(shù)：深度

26、包檢測技術(shù)（Deep Packet Inspection） 深度包檢測技術(shù)，不僅檢查IP包頭，并且能對IP包進行重組、拆包，檢查數(shù)據(jù)包的具體內(nèi)容，深入檢查信息包流，查出惡意行為，可以根據(jù)特征檢測和內(nèi)容過濾，來尋找已知的攻擊，阻止異常的訪問，很好地提供了入侵檢測和攻擊防范的功能 深度包檢測技術(shù)成功地解決了普遍存在的拒絕服務(wù)攻擊（DDoS）的問題、病毒傳播問題和高級應(yīng)用入侵問題，能識別并有效地阻斷惡意數(shù)據(jù)流量，有效地切斷惡意病毒或木馬的流量攻擊；能防范黑客攻擊，能識別黑客的惡意掃描，并有效地阻斷或欺騙惡意掃描者。深度包檢測技術(shù)代表著防火墻的主流發(fā)展方向（2）硬件體系結(jié)構(gòu)發(fā)展趨勢）硬件體系結(jié)構(gòu)發(fā)展趨

27、勢 隨著網(wǎng)絡(luò)應(yīng)用的增加、多媒體應(yīng)用的普及，對網(wǎng)絡(luò)帶寬提出了更高的要求，這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)，延遲足夠小，傳統(tǒng)的X86結(jié)構(gòu)防火墻已經(jīng)難以滿足如此高性能的要求。 防火墻的硬件體系結(jié)構(gòu)目前已經(jīng)處于一個更新?lián)Q代的門檻上，未來的發(fā)展趨勢基本上是網(wǎng)絡(luò)處理器（Network Processor，簡稱NP處理器）與ASIC芯片兩種解決方案，各有優(yōu)劣。 硬件體系結(jié)構(gòu)另外一個需要考慮的問題，為了避免運輸?shù)冗^程中造成內(nèi)存等接插件的松動、脫落，盡量少使用接插件，采取貼片等方式避免此類問題X86結(jié)構(gòu)方案特點結(jié)構(gòu)方案特點 優(yōu)點 X86架構(gòu)的高靈活性和擴展性 在百兆防火墻上獲得了巨大成功 有較豐富的軟件資源可以利用 豐富的有經(jīng)驗的開發(fā)人員以及OpenSource代碼 功能擴展和升級方便 缺點 通用硬件架構(gòu)和通用軟件體系結(jié)構(gòu)極大地限制了性能的提高 通用操作系統(tǒng)易受到攻擊ASIC方案特點方案特點 ASIC優(yōu)點 ASIC可以很容易達到較高的性能 大批量生產(chǎn)時成本很低 ASIC缺點 固化的邏輯不能靈活地適應(yīng)應(yīng)用的變化，要增加新的功能必須重新設(shè)計ASI