防火墙产品的技术现状及发展趋势

　　　防火墙是网络安全的第一道屏障，所占市场最大，安全技术也比较成熟。硬件防火墙产品的架构主要分为三类：以X86 为代表的通用处理器架构、 AISC (专用集成电路)架构以及新近的 NP ( Net Processor )架构。
　　　　防火墙的功能
　　　　从防火墙的功能来说，主要包含以下几个方面：访问控制，如应用 ACL 进行访问控制、 NAT; VPN ;路由、认证和加密、日志记录、管理、攻击防范等。
　　　　为了满足多样化的组网需求，降低用户对其它专用设备的需求，减少用户建网成本，防火墙上也常常把其它网络技术结合进来，例如支持 DHCP server 、 DHCP replay 、动态路由，支持拨号、 PPPOE 等特性;支持广域网口;支持透明模式 ( 桥模式 ) ;支持内容过滤 ( 如 URL 过滤 ) 、防病毒和 IDS 等功能。
　　　　状态检测技术
　　　　状态检测技术要监视每个连接发起到结束的全过程，对于部分协议，如 FTP 、 H.323 等协议，是有状态的协议，防火墙必须对这些协议进行分析，以便知道什么时候，从哪个方向允许特定的连接进入和关闭。
　　　　状态防火墙可以对特定的协议进行解码，因此安全性也比较好。有的防火墙可以对 FTP 、 SMTP 等有害命令进行检测和过滤，但因为在应用层解码分析，处理速度比较慢，为此，有的防火墙采用自适应方式，因此处理速度很快。
　　　　状态防火墙还有一个特色是，当检测到 SYN FLOOD 攻击时，会启动代理。此时，如果是伪造源 IP 的会话，因为不能完成三层握手，攻击报文就无法到达服务器，但正常访问的报文仍然可达。
　　　　技术发展趋势
　　　　未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。
　　　　从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度不够。应用 ASIC 、 FPGA 和网络处理器是实现高速防火墙的主要方法，其中以采用网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持 IPV6 ，而采用其它方法就不那么灵活。(  素材 )
　　　　实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协处理单元，因此比较容易实现高速。
　　　　对于采用纯 CPU 的防火墙，就必须有算法支撑，例如 ACL 算法。目前有的应用环境，动辄应用数百乃至数万条规则，没有算法支撑，对于状态防火墙，建立会话的速度会十分缓慢。
　　　　受现有技术的限制，目前还没有有效的对应用层进行高速检测的方法，也没有哪款芯片能做到这一点。因此，防火墙不适宜于集成内容过滤、防病毒和 IDS 功能 ( 传输层以下的 IDS 除外，这些检测对 CPU 消耗小 ) 。对于IDS ，目前最常用的方式还是把网络上的流量镜像到 IDS 设备中处理，这样可以避免流量较大时造成网络堵塞。此外，应用层漏洞很多，攻击特征库需要频繁升级，对于处在网络出口关键位置的防火墙，如此频繁地升级也是不现实的。
　　　　多功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都比较高，组网环境也越来越复杂，一般用户总希望防火墙可以支持更多的功能，满足组网和节省投资的需要。例如，防火墙支持广域网口，并不影响安全性，但在某些情况下却可以为用户节省一台路由器;支持部分路由器协议，如路由、拨号等，可以更好地满足组网需要;支持 IPSEC VPN ，可以利用因特网组建安全的专用通道，既安全又节省了专线投资。
　　　　未来防火墙的操作系统会更安全。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。