新一代防火墙技术综述
摘要：本文首先阐述了新一代防火墙产品需具备的技术，然后分别分析了智能、嵌入式和分布式防火墙技术的概念、优点和应用。

关键词：新一代防火墙技术应用
新一代防火墙是应该加强放行数据的安全性，因为网络安全的真实需要是既要保证安全，也必须保证应用的正常运行。

新一代防火墙既有包过滤的功能，又能在应用层进行代理。

较传统的防火墙来说，具有先进的过滤和代理体系，能从数据链路层到应用层进行全方位安全处理，TCP/IP协议和代理的直接相互配合，提供透明代理模式，减轻客户端的配置工作，使本系统的防欺骗能力和运行的健壮性都大大提高；除了访问控制功能外，新一代的防火墙应当还集成了其它许多安全技术，如NAT和VPN、病毒防护等、使防火墙的安全性提升到又一高度。

1 新一代防火墙技术
新一代的防火墙产品具备以下技术：
（l）透明的访问方式。

现在的防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全风险和出错概率。

（2）灵活的代理系统。

代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。

采用两种代理机制：一种用于代理从内部网络到外部网络的连接；另一种用于代理从外部网络到内部网络的连接。

（3）多级过滤技术。

为保证系统的安全性和防护水平，防火墙采用了三级过滤措施，并辅以鉴别手段。

（4）网络地址转换技术。

防火墙利用NAT技术能透明地对所有内部地址做转换，使得外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己编的IP源地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。

（5）Intemet网关技术。

由于是直接串联在网络之中，防火墙必须支持用户在Intemet互联的所有服务，同时还要防止与Iniemet服务有关的安全漏洞，故它要能够以多种安全的应用服务器来实现网关功能。

（6）安全服务器网络（SSN）。

为了适应越来越多的用户向hitemct上提供服务时对服务器的需要，新一代防火墙采用分别保护的策略对用户上网的对外服务器实施保护，它利用一张网卡将对外服务器作为一个独立网络处理，对外服务器既是内部网络的一部分，又与内部网关完全隔离，这就是安全服务器网络（SSN）技术。

而对SSN上的主机既可单独管理，也可设置成通过FTP、Telnet
等方式从内部网上管理。

（7）用户鉴别与加密。

新一代防火墙采用一次性使用的口令系统来作为用户的鉴别手段，并实现了对邮件的加密。

（8）用户定制服务。

为了满足特定用户的特定需求，新一代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有：通用TCP、出站UDP、FTP、SMTP等，如果某一用户需要建立一个数据库的代理，便可以利用这些支持，方便设置。

（9）审计和告警。

新一代防火墙产品采用的审计和告警功能十分健全，日志文件包括：一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、己发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、域名服务器等。

此外，防火墙还在网络诊断、数据备份保全等方面具有特色。

2 智能防火墙技术
2.1概念
智能防火墙从技术特征上，是利用统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的的。

新的数学方法，消除了匹配检查所需要的海量计算，高效发现网络行为的特征值，直接进行访问控制。

由于这些方法多是人工智能学科采用的方法，因此被称为智能防火墙。

智能防火墙的关键技术主要包括：
（l）防攻击技术。

智能防火墙能智能识别恶意数据流量，并有效地阻断恶意数据攻击。

（2）防扫描技术。

（3）包擦洗和协议正常化技术。

智能防火墙支持包擦洗技术，对IP、TCP、UDP、ICMP等协议的擦洗，实现协议的正常化，消除潜在的协议风险和攻击。

（4）AAA技术。

IPv4版本的一大缺陷是缺乏身份认证功能，所以在IPv6版本中增加了该功能。

（5）防欺骗技术。

智能防火墙提供基于MAC的访问控制机制，可以防止MAC欺骗和IP欺骗，支持MAC过滤，支持IP过滤。

（6）入侵防御技术。

智能防火墙为了解决准许放行包的安全性，对准许放行的数据进行入侵检测，并提供入侵防御保护。

2.2优点
智能防火墙成功地解决了普遍存在的拒绝服务攻击（DDOS）的问题、病毒传播问题和高级应用入侵问题，代表着防火墙的主流发展方向。

新一代智能防火墙自身的安全性较传统的防火墙有很大的提高，在特权最小化、系统最小化、内核安全、系统加固、系统优化和网络性能最大化方面，与传统防火墙相比有质的飞跃。

2.3应用
其主要应用领域主要包括：入侵防御、防范黑客攻击、防范潜在风险、防范恶意数据攻击、防范MAC欺骗和IP欺骗等几个方面。

3 嵌入式防火墙技术
3.1概念
嵌入式防火墙就是内潜于路由器或交换机的防火墙。

嵌入式防火墙是某些路由器的标准配置。

用户也可以购买防火墙模块，安装到已有的路由器或交换机中。

嵌入式防火墙也被称为阻塞点防火墙。

就本质而言，嵌入式防火墙常常是无监控状态的，它在传递信息包时并不考虑以前的连接状态。

3.2优点
嵌入式防火墙弥补并改善各类安全能力不足的企业边缘防火墙、防病毒程序、基于主机的应用程序、入侵检测告警程序以及网络代理程序而设计，它确保了企业内部与外部的网络具有以下功能：不论企业局域网的拓扑结构如何变更，防护措施都能延伸到网络边缘为网络提供保护；基于硬件、能够防范入侵的安全特性能独立于主机操作系统与其他安全性程序运行，甚至在安全性较差的宽带链路上都能实现安全移动与远程接入，可管理的执行方式使企业安全性能够被用户策略而非物理设施来进行定义。

3.3应用
防火墙安全性解决方案能够为那些需要在家访问公司局域网的远程办公用户提供了保护。

帮助企业确保网络最薄弱和未保护领域的安全，如笔记本电脑和远程PC机，实行集中式管理的嵌入式客户机方案，并实现了跨企业边缘防火墙的可靠网络连接，为企业和政府点提供天衣无缝的安全性。

4 分布式防火墙技术
4.1概念
针对传统边界防火墙的欠缺，专家提出“分布式防火墙”的概念。

从狭义上与边界防火墙产品对应来讲，分布式防火墙产品是指那些驻留在网络主机如服务器或桌面机并对主机系统自身提供安全保护的软件产品；从广义来讲，“分布式防火墙”是一种新的防火墙体系结构。

它包含以下几种类型：
（l）网络防火墙。

用于内部网和外部网之间（即传统的边界防火墙）和内部网子网之间的保护产品，后者区别于前者的一个特征是需支持内部网可能有的IP和非IP协议。

（2）主机防火墙。

对于网络中的服务器和桌面机进行防护，这些主机的物
理位置可能在内部网中，也可能在内部网外，如托管服务器或便携式计算机。

（3）中心管理。

边界防火墙只是网络中的单一设备，管理是局部的。

中心管理是分布式防火墙体系系统的核心和重要特征之一。

4.2优点
分布式防火墙克服了传统防火墙的缺陷，它的优势在于：在网络内部增加了另一层安全，有效抵御来自内部的攻击，消除网络边界上的通信瓶颈和单一故障点，支持基于加密和认证的网络应用；与拓扑无关，支持移动计算。

4.3应用
主要应用在企业的网络和服务器主机，在于堵住内部网的漏洞，解决来自企业内部网的攻击。

分布式防火墙实施在企业各个网络端点上，克服了传统防火墙的缺陷，有效地保护了主机，适应了新的网络应用的需要。

参考文献：
1.荆继武.信息安全技术教程[M].北京：中国人民公安大学出版社，2007.
2.朱衡.网络安全技术的应用与分析[J].电脑编程技巧与维护，2009（08）
3.许锋波.计算机网络安全综述[J].计算机应用工程技术，2010，6（33）。