第六章 防火墙技术



                 3. 应用
                 主要应用在企业的网络和服务器主机，在于堵住内部网的漏洞，解决来自
            企业内部网的攻击。分布式防火墙实施在企业各个网络端点上，克服了传统防火
            墙的缺陷，有效地保护了主机，适应了新的网络应用的需要。
                 （五）新一代防火墙技术的发展趋势

                 随着新的网络攻击的出现，新一代防火墙技术也有一些新的发展趋势。这
            主要可以从防火墙体系结构、包过滤技术和防火墙系统管理三方面来体现。
                 1. 防火墙的体系结构发展趋势

                 随着网络应用的加强，对网络宽带提出了更高的要球。这意味着防火墙要
            能够以非常高的速率处理数据。另外，在以后几年里，多媒体应用将会越来越普遍，
            它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要，一些防火墙
            制造商开发了基于 ASIC 的防火墙和基于网络处理器的防火墙。从执行速度的角
            度看来，基于网络处理器的防火墙也是基于软件的解决方案，它需要在很大程度

            上依赖于软件的性能，但是由于这类防火墙中有一些专门用于处理数据层面任务
            的引擎，从而减轻了 CPU 的负担，该类防火墙的性能要比传统防火墙的性能好
            许多。与基于 ASIC 的纯硬件防火墙相比，基于网络处理器的防火墙具有软件色

            彩，因而更加具有灵活性。基于 ASIC 的防火墙使用专门的硬件处理网络数据流，
            比起前两种类型的防火墙具有更好的性能。但是纯硬件的 ASIC 防火墙缺乏可编
            程性，这就使得它缺乏灵活性，从而跟不上防火墙功能的快速发展。理想的解决
            方案是增加 ASIC 芯片的可编程性，使其与软件更好地配合。这样的防火墙就可
            以同时满足来自灵活性和运行性能的要求。

                 2. 防火墙包过滤技术发展趋势
                 使防火墙具有病毒防护功能。现在通常被称之为“病毒防火墙”，当然目
            前主要还是在个人防火墙中体现，因为它是纯软件形式，更容易实现。这种防火

            墙技术可以有效地防止病毒在网络中的传播，比等待攻击的发生更加积极。拥有
            病毒防护功能的防火墙可以大大减少企业的损失。
                 多级过滤技术。所谓多级过滤技术，是指防火墙采用多级过滤措施，并辅
            以鉴别手段。在分组过滤（网络层）一级，过滤掉所有的源路由分组和假冒的 IP
            源地址；在传输层一级，遵循过滤规则，过滤掉所有禁止出或 / 和入的协议和有

            害数据包如 nuke 包、圣诞树包等；在应用网关（应用层）一级，能利用 FTP，


                                                                                    183
                                                                                    183