防火墙是近年来发展非常快的一项安全技术，在网络安全体系中起到了安全门的作用。它能提供身份认证和访问控制，是网络的第一道安全防线，与防毒、IDS、VPN及其他身份认证产品相比，防火墙是各类网络安全产品中最受人瞩目的，也是最早成熟、最早产品化和最多被大家使用的。目前，由于中低端防火墙产品的普及和相对低廉的价格，防火墙已成为企业网络建设是否采取网络安全措施的标志。 防火墙通常会被放置在每一个内外网络的出入口处，将内部网与外部网（如互联网）隔离，并按照用户定义的安全策略控制出入网络的信息流。这就好比在大楼入口设立大门和门卫，门卫会对所有通过大门的人员审查，只让符合规定的人员进入，而将不符合规定的人员拒之门外。
1．防火墙能干什么？ 网络信息由一些按一定格式封装起来的数据组成，称作报文。用户可以预先设定好哪些类型的报文是允许或拒绝通过的，即定义好防火墙的安全规则，这样，当防火墙工作时，就可以根据您的规则对全部报文进行审查，以确定是否将该报文放行，这就是防火墙最基本也是最重要的访问控制功能。 一般情况下，只需要对报文的报头进行审查。出于更安全的考虑，人们往往要求对内容进行一定程度的检查（除了看信封外，还要检查信的内容），所以需要应用层的应用协议分析和过滤。在此基础上，防火墙还会提供身份认证、数据机密性与完整性和各通信端的不可否认性等安全功能。可以形象地描述防火墙的基本功能：首先确认您是谁，再确认您带的东西是否安全，必要时会为您携带的东西进行保密处理。 一个优秀的防火墙系统应具备三方面特性： 所有在内部网和外部网之间传输的数据必须通过防火墙； 只有被授权的合法数据（即防火墙系统中安全策略允许的数据）才可以通过防火墙； 防火墙本身不受各种攻击影响。 由于防火墙的第一个特性决定了防火墙的优点与缺点都非常明显。优点是：防火墙把各种安全功能集于一身，在网关级进行保护，大大简化安装和管理，应用门槛比较低。如果企业具有安全意识，肯为安全投资，就可以很容易地为自己的网络加上一道防盗门——防火墙。缺点是：由于防火墙假设网络边界的存在，是一种被动的技术，只能对出入数据进行控制，难以防范内部的非法访问，就像大楼门口的安检人员，难以有效保护单位大楼中某个房间内的文件不被破坏。 说到这里，韦博士举了两个互联网上常见的攻击方式“特洛依木马”和“SYN Flooding拒绝服务攻击”说明防火墙的作用。“由于防火墙过滤了对不该访问的TCP端口的访问企图，使得外部网络的攻击者无法控制内部网络中的木马受害者；由于防火墙采用了专门抵抗SYN Flooding攻击的算法，使得利用TCP三次握手的漏洞来进行SYN Flooding拒绝服务攻击的企图落空。” 需要指出的是，防火墙只是整体安全体系的一部分，保护网络安全不能仅依赖防火墙，还需要全面、公开的安全策略，并对网络易受攻击的各个点实施相同程度的安全防护措施。

 

2．区辨纷繁类别 “我们来拜访您之前，也查看了一些资料，仅防火墙的叫法就众说不一，弄得我俩一头雾水，您能不能给分析分析”，王总和李工问。“我想，你们似乎问的是关于防火墙分类的问题”，韦博士一语道破。 市场上可见到的防火墙产品非常多，大体可分为以下几类。 按产品形态划分，可分为软件防火墙、软硬一体化防火墙和硬件防火墙。目前，国内产品尚无真正的硬件防火墙，基本都是基于IA架构的软件防火墙（包括操作系统和安全应用软件），最多也只能称之为软硬一体化防火墙。 按适用范围划分，分为网络防火墙和主机防火墙。其中，网络防火墙又分电信级防火墙、企业级防火墙和SOHO防火墙等。网络防火墙的基本思想是: “不是对每台主机分别进行保护，而是让所有对信息的访问通过某一点，并且保护这一点。”这正是前面提到的防火墙第一特性。网络防火墙往往更关注在启用安全功能后的性能问题。主机防火墙以软件的形式驻留在受保护的机器上，起保护单个机器的作用。对一个网络来说，防护措施应该是全方位的，既要有在网络边界的网络防火墙，又要有驻留在单台主机上的主机防火墙。由于传统防火墙的缺点是“防内不防外”，为解决这一问题，出现了“分布式防火墙”的概念。把网络防火墙的功能进行细化和简化后，可以得到成本较低、功能专一的防火墙，分布在整个企业网中保护每一个子网节点。企业网内部各子网节点的通信都要受到防火墙的控制，有效防止对内部各子网间的攻击企图。这些防火墙与网络边界防火墙和主机防火墙形成了一整套企业网防火墙体系，所有的防火墙都通过集中管理的方式控制，以实施企业整体安全策略。这一套系统通称为分布式防火墙。 按应用技术划分，分为包过滤型防火墙（早期产品大多是静态包过滤，目前基本上均是状态检测包过滤）、应用级代理型防火墙、电路层网关型防火墙。 按网络接口划分，分为千兆防火墙、百兆防火墙和十兆防火墙（目前基本上10/100Mbps自适应防火墙，十兆防火墙已很少提了）。随着网络技术的发展，网络带宽不断提高，处理速度不断加快，百兆防火墙已不能完全满足用户需求，近两年，千兆防火墙开始火起来。各个商家纷纷推出自己的千兆防火墙，以弥补百兆防火墙在适应性上的不足，许多商家针对不同适用环境和不同用户群推出系列化产品，功能更专一，性价比更高。

 

 3．管窥技术实现 实现防火墙功能的技术主要包括包过滤、应用层网关和电路层网关技术等，实际的产品往往是多种技术混合的产品。 包过滤　包过滤技术就像大门口的门卫对进出的数据进行检查，门卫有一个记录通缉犯名单的表，看进出的数据是被通缉就不让通过。传统的包过滤对所有的数据都要检查，速度较慢，现在改进了，叫基于状态检测的包过滤，就是以点带面来抽查。门卫判断穿蓝颜色衣服的是允许通过的好人，则后面所有穿蓝颜色衣服进出的人就不再被检查而直接放行，以节省无谓的检查时间。对数据也是如此，防火墙对开始的数据做一番判断，定出一个标准，则符合标准的后续数据都不用再仔细检查，从而提高了处理效率。 应用级网关　常被人们称为代理服务器。还以门卫做例子，防火墙门卫不允许任何数据通过，如果用户需要传输数据，必须先将它交给防火墙，让防火墙把信息传入内部网。这种传输服务不是针对所有数据而只为某些特定数据服务的。如果想让防火墙在传送了面包后，再传送馒头，必须为馒头专门编程，防火墙才能变成能传送馒头的防火墙。因此，应用级网关只能应用于特定的互联网服务，如超文本传输（HTTP）和远程文件传输（FTP）等等。代理服务器通常运行在两个网络之间，它对于客户来说是像一台真实的服务器，而对于外界服务器来说，它又是一台客户机。通常，一次连接被设计为重新建立的两次连接，在牺牲了速度后，其安全性还是比较高的。另一个不足是，每种网络协议需要对应编写一个代理服务器的应用程序。 电路层网关　属于另一类的代理技术（如通用代理协议SOCKS）。电路层网关用来在两个通信的终点之间转换包，通常是建立在TCP连接之上的，网关起一个电路的作用。这里的问题依然是使用的方便性，可能要安装特殊的客户机软件，而且不可能会对不同平台和版本做更多的客户机软件。

 

4．预览发展趋势 趋势一：集多种安全技术于一身 从市场和应用情况看，防火墙概念正在不断延伸，逐渐脱离传统防火墙定义，成为集成有如VPN等其他安全技术的新防火墙概念。像集成了针对VPN的IPSec数据加密标准、IDS和身份认证等安全技术的Cisco IOS就被称为防火墙。由此可见，安全功能集成化已成为防火墙技术的一个发展方向，而推动集成VPN、防毒和IDS等于防火墙一身的源动力是用户的需求，特别是那些安全级别高、对网络速度没特别要求又希望有多种安全保障的业务。 趋势二：可更新、易于升级 黑客攻击手段日益变幻莫测，有如病毒破坏方式，这就要求防火墙应具备防毒产品一样的升级能力，从而成为防火墙技术质变发展的另一趋势。升级主要通过软件来实现。前不久，CheckPoint推出了第三代防火墙，即工业标准服务器＋CheckPoint防火墙软件（SVN和SecurePlatform，后文有详细介绍），其最大特点是灵活、简单，易于软件升级。 趋势三：与无线网络安全接轨 无线通信技术的快速发展，使得移动办公已不再局限在笔记本网络应用上，用PDA、手机收发短信与E-mail变得司空见惯，能在有线网络中捣乱的病毒与黑客，不会放弃无线网络中做恶的机会，因此，无线网络的安全保护迫在眉睫。据了解，手机加密技术非常成熟，基本现售的手机都随机附送，可有效保证从外界到手机或从手机发出信息的安全。与其类似，企业网也可以构建完善的安全体系，保证出入企业网信息的安全，但由无线网到有线网传递的信息，其安全又有谁来保护呢？似乎只有谙熟IP网络安全又通晓无线通信技术的厂商才能提供更好的解决方案。通信领域强者Nokia上个世纪末涉足网络安全之时，就考虑到这些问题，以致今日它提供的网络安全解决方案Nokia IP系列即支持IP网络的SSL数据安全协议，也支持WTLS无线通信协议，将IP网络和无线网络安全两手抓。相信，伴随蓝牙技术的成熟、无线与有线技术的进步，安全技术将趋融合之势，也就是说，将来您买的防火墙在阻止黑客入侵企业网的同时也可阻止入侵您的手机等无线通信设备。 趋势四：安全技术芯片化 为了让防火墙能够对各类协议和服务进行动态的访问控制，防火墙除了需要对访问控制表或状态表进行处理外，还需要对各类应用协议的内容进行分析；此外，随着攻击技术的不断提高，用户对有如恶意代码的过滤和入侵行为的检测与响应等要求也不断提高，使防火墙安全计算的处理开销加大，有效提高防火墙性能已成为当今关键业务面临的主要问题。防火墙要做到在宽带环境下的线速处理（提高吞吐量、减小网络时延）能力和对更多的应用协议的内容分析与处理能力，需要采用芯片、并行处理和群集等技术，可以说，这是未来防火墙必经之路。 芯片技术指的是采用像ASIC（专有集成电路）或基于NPU的技术。 ASIC可以理解成在芯片中实现防火墙应用，这个固化过程会大大提高用户设备原本的运行处理速度。由于其门槛高，可能只有大公司或有技术实力的公司才会采用这条技术路线，并将在未来的市场上占据不可比拟的位置。另有一类可编程芯片是FPGA，其基本功能与ASIC相似，但是可编程的。FPGA的启动成本少，单片成本高，速度相对慢。通常，ASIC与FPGA会配合使用。 NPU的优势在于处理操作非常灵活，比ASIC开发周期要短得多。

 

据悉，Cisco公司将于近期推出基于NPU的防火墙产品。另悉，国内一家专注于自主版权千兆网络信息安全软硬件技术研发的测试实验室也正在开发NPU防火墙产品，它可在片内高效实现数据调度、任务管理、NAT、实时内容过滤与VPN和IDS，系统硬件布局极为简单，可在提高性能的情况下加强自身安全性，降低成本。目前，该芯片主要功能设计与样片已经完成并通过验证，正在进一步完善功能，处于完成产品化过程中。

 

在未来，所有网络设备都将具有安全功能，网络功能不可能与安全功能完全分隔开来。我们可能将防火墙集成更多的路由功能、交换功能以替代现在的路由器和交换机，也可能将现在的路由器、交换机集成更多防火墙功能。所有这些，需要厂家研制出更多更好更快的专用芯片。只有这样，才能做到比攻击更早一步的安全防范，也才能让现有的防火墙和IDS等更有实用价值。 术语解释 用户在阅读防火墙产品资料时会遇到很多术语，以显示防火墙的各种功能和性能。这些术语都是什么意思呢？我们举例说明。

策略：也叫规则，指我们希望给网络订的规矩。表达的是用户允许或阻止哪些信息通过的内容，它可以通过防火墙能理解的语言表达，从而形成防火墙策略。 NAT：我们常可以听到“防火墙在这里用NAT的方式布置”之类的语言，这种布置方式并不是指给防火墙摆个叫NAT的造型，而是防火墙工作的一种方式，防火墙可以让配置了保留地址的内部服务器被外部网络访问。外网访问的还是真实的IP地址，防火墙做内外网地址的转换。

日志管理：日志指防火墙记录下来的关于网络流量和内容的数据。通过日志我们可以了解到很多网络上发生的事件，例如有哪些不符合防火墙策略规定的非法访问、什么时间网络的数据流量最大等等。由于日志文件太大了，查找起来不方便，所以需要专门的日志管理软件来对日志进行各种操作和管理。

集中管理：是指防火墙的一种管理手段，通常利用一个界面来管理网络中的多个防火墙。其效果和用一个遥控器管理家中所有电器一样简单，可大大简化管理员的管理工作。 吞吐量：网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源，吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包的数量，这是测量防火墙性能的重要指标。 最大连接数：和吞吐量一样，数字越大越好，但是最大连接数更贴近实际网络情况，网络中大多数连接是指所建立的一个虚拟通道。例如打开一个Web页面就是一个连接，每个连接由很多数据包组成，不同连接的数据包是不相关的。防火墙对每个连接的处理也要耗费资源，因此最大连接数成为考验防火墙这方面能力的指标。