千兆防火墙技术展望

防火墙发展概述

传统的防火墙通常是基于访问控制列表(ACL)的数据流“筛子”，安装在私网的入口处。随着网络技术的发展，出现了几种特殊的防火墙技术，数据流通过网络控制节点时就会被检查，以保护内网免受攻击。在实际运用上，这些技术差别非常大，有的是在OSI模型的网络和传输层执行对数据包的检查，有的则是在应用层实施检查。

迄今为止，有四种主要的数据包过滤技术，分别是静态包过滤、应用网关(代理服务器)、电路级网关(透明代理)和状态包检查(动态包过滤)。静态包过滤是最差的安全解决方案，其应用存在着一些不可克服的限制。现在已经没有防火墙厂商单独使用这种技术。应用层网关和电路级网关是比较好的安全解决方案，它们在应用层检查数据包。但是，我们不可能对每一个应用都运行这样一个代理服务器，而且部分应用网关技术还要求客户端安装有特殊的软件。这两种解决方案在性能上也有很大的不足之处。状态包过滤基于连接状态对数据包进行检查。由于状态包过滤解决了静态包过滤的安全限制，并且比代理技术在性能上有了很大的改善，因而大多数防火墙厂商都采用这种技术。但是随着主动攻击的增多，状态包过滤技术也面临着巨大的挑战，更需要其它新技术的辅助。

除了访问控制功能外，现在大多数的防火墙制造商在自己的设备上还集成了其它的安全技术，如NAT和VPN。

防火墙未来的技术趋势

随着新的网络攻击的出现，防火墙技术也有了新的发展趋势。第一个趋势就是一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中，使其拥有可以支持基于用户角色的安全策略的功能。该功能在无线应用中非常必要，同时它也使得防火墙的功能从其传统的角色得以扩展，从而能在内网中发挥更大的作用。第二种趋势是在防火墙中加入内容过滤功能，这样防火墙就可以防止越来越多的针对应用层的攻击。这种技术在性能上比采用网关技术的防火墙有很大的优势，却不会以牺牲安全作为提升性能的代价。第三种趋势就是将IDS模块加入到防火墙中，这样，防火墙就会具有更高的智能来分析网络数据，从而能迅速地对攻击产生响应，而不是仅仅进行数据包的检查。第四种趋势是使防火墙具有病毒防护功能。防止病毒在网络中的传播比坐在PC面前等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少公司的损失。除了以上提到的几种安全特性，QoS和负载均衡也是现代防火墙系统的另外两种必要的特性。

防火墙的系统管理也有一些发展趋势：首先是集中式管理，分布式和分层的安全结构是将来的趋势。集中式管理可以降低管理成本，并保证在大型网络中安全策略的一致性。快速响应和快速防御也要求采用集中式管理系统。其次是强大的审计功能和自动日志分析。这两点的应用可以更早地发现潜在的威胁并预防攻击的发生。

防火墙系统结构的发展

此外，防火墙的体系结构也有了长足的进步。随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外，在以后几年里，多媒体应用将会越来越普遍，它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要，一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来，基于网络处理器的防火墙也是基于软件的解决方案，它需要在很大程度上依赖于软件的性能，但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎，从而减轻了CPU的负担，该类防火墙的性能要比传统防火墙的性能好很多。与基于ASIC的纯硬件防火墙相比，基于网络处理器的防火墙具有软件色彩，因而更加具有灵活性。基于ASIC的防火墙使用专门的硬件处理网络数据流，比起前两种类型的防火墙具有更好的性能。但是纯硬件的ASIC防火墙缺乏可编程性，这就使得它缺乏灵活性，从而跟不上防火墙功能的快速发展。理想的解决方案是增加ASIC芯片的可编程性，使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。

首信CF-2000 系列EP-600和CG-600高端千兆防火墙即采用了功能强大的可编程专有ASIC芯片作为专门的安全引擎，很好地兼顾了灵活性和性能的需要。它们可以以线速处理网络流量，而且其性能不受连接数目、包大小以及采用何种策略的影响。该款防火墙支持QoS，所造成的延迟可以达到微秒量级，可以满足各种交互式多媒体应用的要求。

(责任编辑：赵纪雷)