计算机技术与网络安全研究
             Computer Technology and Cyber Security Research



            SMTP 等各种网关，控制和监测 Internet 提供的所用通用服务。这是针对以上各
            种已有防火墙技术的不足而产生的一种综合型过滤技术，它可以弥补以上各种单
            独过滤技术的不足。这种过滤技术在分层上非常清楚，每种过滤技术对应于不同
            的网络层，从这个概念出发，又有很多内容可以扩展，为将来的防火墙技术发展
            打下基础。

                 一些防火墙厂商把在 AAA 系统上运用的用户认证及其服务扩展到防火墙
            中，使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用
            中非常必要。具有用户身份验证的防火墙通常是采用应用级网关技术的，包过

            滤技术的防火墙不具有。用户身份验证功能越强，它的安全级别越高，但它给
            网络通信带来的负面影响也越大，因为用户身份验证需要时间，特别是加密型
            的用户身份验证。
                 3. 防火墙的系统管理发展趋势
                 防火墙的系统管理也有一些发展趋势，主要体现在以下几个方面：

                 首先是集中式管理，分布式和分层的安全结构是将来的趋势。集中式管理
            可以降低管理成本，并保证在大型网络中安全策略的一致性。快速响应和快速防
            御也要求采用集中式管理系统。目前这种分布式防火墙早已在 Cisco（思科）、

            3Com 等大的网络设备开发商中开发并成功，也就是目前所称的“分布式防火墙：
            和“嵌入式防火墙”。另外，“混合型”和“智能型”等新特性的防火墙也随着
            企业的应用需求而产生。
                 强大的审计功能和自动日志分析功能。这两点的应用可以更早地发现潜在
            的威胁并预防攻击的发生。日志功能还让可以管理员有效地发现系统中存在的安

            全漏洞，对及时地调整安全策略等方面管理具有非常大的帮助。不过具有这种功
            能的防火墙通常是比较高级的，早期的静态包过滤防火墙是不具有的。
                 网络安全产品的系统化。随着网络安全技术的发展，现在有一种提法，叫

            做“建立以防火墙为核心的网络安全体系”。因为我们在现实中发现，仅现有的
            防火墙技术难以满足当前网络安全需求。通过建立一个以防火墙为核心的安全体
            系，就可以为内部网络系统部署多道安全防线，各种安全技术各司其职，从各方
            面防御外来入侵。如现在的 IDS 设备就能很好地与防火墙一起联合。一般情况下，
            为了确保系统的通信性能不受安全设备的影响太大，IDS 设备不能像防火墙一样

            置于网络入口处，只能置于旁路位置。而在实际使用中，IDS 的任务往往不仅在


             184
             184