硬體防火牆的技術演變及發展趨勢

　　　防火牆是網路安全的第一道屏障，所佔市場最大，安全技術也比較成熟。為了更好的讓使用者瞭解硬體防火將的演變過程及發展趨勢，特別總結了一些這方面的知識，希望可以對您有所幫助!硬體防火牆產品的架構主要分為三類：以X86 為代表的通用處理器架構、 AISC (專用積體電路)架構以及新近的 NP ( Net Processor )架構。

防火牆的功能

從防火牆的功能來說，主要包含以下幾個方面：訪問控制，如應用 ACL 進行訪問控制、 NAT; VPN ;路由、認證和加密、日誌記錄、管理、攻擊防範等。

為了滿足多樣化的組網需求，降低使用者對其它專用裝置的需求，減少使用者建網成本，防火牆上也常常把其它網路技術結合進來，例如支援 DHCP server 、 DHCP replay 、動態路由，支援撥號、 PPPOE 等特性;支援廣域網口;支援透明模式 ( 橋模式 ) ;支援內容過濾 ( 如 URL 過濾 ) 、防病毒和 IDS 等功能。

狀態檢測技術

狀態檢測技術要監視每個連線發起到結束的全過程，對於部分協議，如 FTP 、 H.323 等協議，是有狀態的協議，防火牆必須對這些協議進行分析，以便知道什麼時候，從哪個方向允許特定的連線進入和關閉。

狀態防火牆可以對特定的協議進行解碼，因此安全性也比較好。有的防火牆可以對 FTP 、 SMTP 等有害命令進行檢測和過濾，但因為在應用層解碼分析，處理速度比較慢，為此，有的防火牆採用自適應方式，因此處理速度很快。

狀態防火牆還有一個特色是，當檢測到 SYN FLOOD 攻擊時，會啟動代理。此時，如果是偽造源 IP 的會話，因為不能完成三層握手，攻擊報文就無法到達伺服器，但正常訪問的報文仍然可達。

技術發展趨勢

未來防火牆的發展趨勢是朝高速、多功能化、更安全的方向發展。

從國內外歷次測試的結果都可以看出，目前防火牆一個很大的侷限性是速度不夠。應用 ASIC 、 FPGA 和網路處理器是實現高速防火牆的主要方法，其中以採用網路處理器最優，因為網路處理器採用微碼程式設計，可以根據需要隨時升級，甚至可以支援 IPV6 ，而採用其它方法就不那麼靈活。

實現高速防火牆，演算法也是一個關鍵，因為網路處理器中整合了很多硬體協處理單元，因此比較容易實現高速。

對於採用純 CPU 的防火牆，就必須有演算法支撐，例如 ACL 演算法。目前有的應用環境，動輒應用數百乃至數萬條規則，沒有演算法支撐，對於狀態防火牆，建立會話的速度會十分緩慢。

受現有技術的限制，目前還沒有有效的對應用層進行高速檢測的方法，也沒有哪款晶片能做到這一點。因此，防火牆不適宜於整合內容過濾、防病毒和 IDS 功能 ( 傳輸層以下的 IDS 除外，這些檢測對 CPU 消耗小 ) 。對於IDS ，目前最常用的方式還是把網路上的流量映象到 IDS 裝置中處理，這樣可以避免流量較大時造成網路堵塞。此外，應用層漏洞很多，攻擊特徵庫需要頻繁升級，對於處在網路出口關鍵位置的防火牆，如此頻繁地升級也是不現實的。

多功能也是防火牆的發展方向之一，鑑於目前路由器和防火牆價格都比較高，組網環境也越來越複雜，一般使用者總希望防火牆可以支援更多的功能，滿足組網和節省投資的需要。例如，防火牆支援廣域網口，並不影響安全性，但在某些情況下卻可以為使用者節省一臺路由器;支援部分路由器協議，如路由、撥號等，可以更好地滿足組網需要;支援 IPSEC VPN ，可以利用因特網組建安全的專用通道，既安全又節省了專線投資。

未來防火牆的操作系統會更安全。隨著演算法和晶片技術的發展，防火牆會更多地參與應用層分析，為應用提供更安全的保障。