浅析Internet防火墙技术毕业论文.doc

《浅析Internet防火墙技术毕业论文.doc》由会员分享，可在线阅读，更多相关《浅析Internet防火墙技术毕业论文.doc（19页珍藏版）》请在三一办公上搜索。

1、题目: 浅析Internet防火墙技术 姓 名 学 号 0301093108 专 业 计算机通信 系 部 计算机 指导教师 2012 年 6 月 12 日湖南环境生物职业技术学院毕业论文（设计）评审登记卡(一)论文题目浅析Internet防火墙技术作者姓名所属专业、级别计算机网络技术指导教师姓名字数11884定稿日期2011年6月12日内 容 摘 要21世纪全球互联网技术的迅猛发展为现代人们的生产生活带来了翻天覆地的变化。不仅仅是使我们的生活变得丰富多彩，而在更大程度上使整个社会的生产力的大幅度提升。Internet的快速发展，使全球各个角落的资源实现共享，资源之丰富可谓是应有尽有。但是同时给

2、我们带来了一个日益严峻的问题网络安全。互联的发展必然把网络安全这个话题推上了风头浪尖。现在的网络安全技术有防火墙技术，IDS、加密技术和防病毒技术等等。而防火墙技术在网络安全技术中是最简单，也是最有效的解决方法。所以防火墙技术越来越受到人们的关注和广泛应用。本文从防火墙技术的概念、发展过程的方面进行分析，并对防火墙技术的发展趋势以及前景做简要展望。关 键 词Internet 防火墙 过滤 湖南环境生物职业技术学院毕业（设计）评审登记卡(二)学生毕业论文(设计)质量评价表评价基元评价要素评价内涵满分实评分选题质量25目的明确、符合要求符合培养目标，体现学科，专业特点和教学计划的基本要求，达到毕业

3、论文（设计）综合训练的目的。10理论意义或实际价值符合本学科的理论发展，有一定的学术意义；对经济建设和社会发展的应用性研究中的某个理论或方法问题进行研究具有一定的实际值。10选题确当题目规模适当，难易度适中；有一定的科学性。5能力水平40检阅文献资料能力能独立检阅相关文献资料，归纳总结本论文所涉及的有关研究状况及成果。10综合运用知识能力能运用所学专业知识阐述问题；能对查阅的资料进行整理和运用；能对其科学论点进行率证。10研究方案的设计能力整理思路清晰，研究方案合理可行5研究方法和手段的运用能力能运用本学科常规研究方法及相关研究手段（如计算机、实验仪器设备等）进行实验、实践并加工处理，总结信息

4、。10外文应用能力能阅读、翻译一定量的本专业外文资料、外文摘要和外文参考书目(艺术类等专业除外)体现一定的外语水平。5论文质量35文题相符较好地完成论文选题的要求。5写作水平论点鲜明；论据充分；条理清晰；语言流畅；书写工整。15写作规范符合科学论文的基本要求。用语、格式、图表、数据、量和单位，各种资料引用的规范化（符合标准）。10论文篇幅文科4000字左右，理科3000字左右。5指导教师评定成绩：实评总分 成绩等级 指导教师（签名）：说明：评定成绩分为优秀、良好、中等、及格、不及格五个等级，实评总分90分以上记为优秀,80分以上为良好，70分以上记为中等，60分以上记为及格，60分以下记为不及

5、格。 湖南环境生物职业技术学院毕业论文（设计）评审登记卡(三)指导教师审意见评语：评定等级： 指导教师（签名）：论文指导小组意见评语：评定等级： 负责人（签名）：学校抽查意见评语：评定等级： 负责人（签名）： 毕业设计任务计划书一、 目的： 了解什么是防火墙，分析各代防火墙的技术特点以及各代防火墙存在的弊端和不足之处，结合现今互联网发展状况展望未来防火墙的发展。 二、 设计思路：计算机网络的发展，上网的人数不断地增大，网上的资源也不断地增加，网络的开放性、共享性、互连程度也随着扩大。政府上网工程的启动和实施，电子商务、网上银行等网络新业务的兴起和发展，使得网络安全问题显得日益重要和突出。本文讲

6、述了传统防火墙的基本原理和发展历程，分析其在当今网络环境中所存在的缺陷，并展望下一代防火墙的发展方向。 三、基本任务： 通过选题、开题、中期检查、结论验收、等工作程序，能够以计算机专业理论为基础，完成一篇具有学术性、科学性、创新性、规范性的论文题目的研究撰写任务。 四、 内容计划： 通过大学三年的学习，以计算机专业知识为基础，我对网络技术、防火墙技术、广域网技术颇感兴趣，因此我选择了浅析Internet防火墙技术这个论文题目。2011年4月我对论文题目进行了研究和思考，并写出论文写作提纲，查阅大量相关书籍文献，并突破选题内容的重点难点和创新点。5月对论文的疑难点进行深入研究，通过查阅资料，与同

7、学探讨，解决难点。论文于5月18日定稿，6月上旬审查。目录摘要00前言01第一章 防火墙技术概述一.防火墙的基本概念01二.防火墙的工作原理02三.防火墙的功能02四.防火墙的分类02第二章 防火墙的发展以及关键技术和特色一第一代防火墙 03（一）特点 03（二）优劣03二第二代防火墙 04（一） 特点 04（二） 优劣 04三第三代防火墙05（一） 特点 05（二） 优劣 05四第四代防火墙 05（一）主要技术及功能 05（二）实现方法 07五.小结 08第三章 防火墙技术的发展趋势一最新梭子鱼防火墙09结论11参考文献 11附录 12摘要：21世纪全球互联网技术的迅猛发展为现代人们的生产生

8、活带来了翻天覆地的变化。不仅仅是使我们的生活变得丰富多彩，而在更大程度上使整个社会的生产力的大幅度提升。Internet的快速发展，使全球各个角落的资源实现共享，资源之丰富可谓是应有尽有，但是同时给我们带来了一个日益严峻的问题网络安全。互联网的发展必然把网络安全这个话题推上了风头浪尖。现在的网络安全技术有防火墙技术，IDS、加密技术和防病毒技术等等，而防火墙技术在网络安全技术中是最简单，也是最有效的解决方法。所以防火墙技术越来越受到人们的关注和广泛应用。本文从防火墙技术的概念、发展过程这两个方面进行研究分析，并对防火墙技术的发展趋势以及前景做简要展望。关键字：Internet 防火墙过滤Abs

9、tract: The 21st century global the rapid development of Internet technology for modern peoples production and life bring earth-shaking changes. Not only is to make our lives become rich and colorful, and a greater extent the productivity of the society of improved significantly. The rapid developmen

10、t of Internet, make every corner of the world, resources sharing resources to achieve the rich can be called everything. But at the same time gives us an increasingly serious problem - network security. Internet development will inevitably put network security this topic into limelight wave. Now net

11、work security technology has firewall technology, IDS, encryption technology and the black anti-virus technology, etc. Firewall technology in network security technology is the simplest and most effective solutions. So the firewall technology is more and more attention and widely used. In this paper

12、, we researched the concept and the development of firewall technology, and analysis firewall technology trends and prospects for a brief outlook.Key words: Internet Firewall Filtering前言古代防火墙作用：古人在建筑物的两侧山墙和后檐墙上，不开门窗，不采用可燃材料，谓之风火檐，也称封火檐。这是防火墙的一种形式。故宫内也有这种防火墙。雍正皇帝为了接受皇宫内过去发生火灾的教训，命令工部大臣将三大殿东西配殿以及东六宫、西

13、六宫的两侧山墙和后檐墙统统改为风火檐，全然不用木质材料。这十三处防火墙的总长度约4000米，对于防止故宫内火势蔓延发挥了应有的作用。当今社会所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway）。随着网络应用越来越广泛，给我们带来的便利无处不在，但是这项技术的普及给我们的生活带来了很多新的问题。如银行密码被偷、商业机密被窃取、网络欺诈、网络虚拟资产被偷窃等等现象越来越严重，这些现象使

14、得人们对网络技术长生了畏惧。在互联网领域存在的“黑客经济”，已经发展出黑客培训、信息窃取、恶意广告、垃圾邮件、敲诈勒索、网站仿冒等多种盈利模式。根据CNCERT的初步估计，目前这条“黑色产业链”的年“产值”已超过2.38亿元，给中国互联网产业造成的损失则超过76亿元。作为网络安全保障第一道防线的防火墙技术此时显得尤为重要。本文将从防火墙的原理入手充分解析什么是防火墙，再分析各代防火墙的技术特点，剖析防火墙现在依然存在的弊端和不足之处，最后结合现今互联网发展状况作出展望。第一章 防火墙技术概述一.防火墙的基本概念 从理论上讲，网络防火墙服务的原理与其类似，它用来防止外部网上的各类危险传播到某个受

15、保护网内。从逻辑上讲，防火墙是分离器、限制器和分析器；从物理角度看，各个防火墙的物理实现方式可以有所不同，但它通常是一组硬件设备(路由器、主机)和软件的多种组合；而从本质上来说防火墙是一种保护装置，用来保护网络数据、资源和用户的声誉；从技术上来说，网络防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问，换句话说，防火墙是一道门槛，控制进/出两个方向的通信，防火墙主要用来保护安全网络免受来自不安全网络的入侵，如安全网络可能是企业的内部网络，不安全网络是因特网，当然，防火墙不只是用于某个网络与因特网的隔离，也可用于企业内部网络中的部门网络之间的隔离1。

16、二.防火墙的工作原理 防火墙的工作原理是按照事先规定好的配置和规则，监控所有通过防火墙的数据流，只允许授权的数据通过，同时记录有关的联接来源、服务器提供的 通信量以及试图闯入者的任何企图，以方便管理员的监测和跟踪，并且防火墙本身也必须能够免于渗透1。 三.防火墙的功能一般来说，防火墙具有以下几种功能1： （一）能够防止非法用户进入内部网络。 （二）可以很方便地监视网络的安全性，并报警。 （三）可以作为部署 NAT（Network Address Translation，网络地址变换）的地点，利用 NAT 技术，将有限的 IP 地址动态或静态地与内部的 IP 地址对应起来，用来缓解地址空间短缺的

17、问题。 （四）可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署 WWW服务器和 FTP 服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的停火区（DMZ）。 四.防火墙的分类 （一）从软、硬件形式上分为软件防火墙和硬件防火墙以及芯片级防火墙。 （二）从防火墙技术分为“包过滤型” 、“代理服务器型”和“复合型防火墙”三大类2。 1、包过滤型防火墙。又称筛选路由器(Screening router)或网络层防火墙(Network level firewall)，它工作在网络层和传输层。它基于单个数据包实施网络控制，根据所收到的数据包的源IP地址、目的IP地址、TCP

18、/UDP源端口号及目标端口号、ICMP消息类型、包出入接口、协议类型和数据包中的各种标志等为参数，与用户预定的访问控制表进行比较，决定数据是否符合预先制定的安全策略，决定数据包的转发或丢弃，即实施过滤。2.代理服务器型防火墙 代理服务器型防火墙通过在主机上运行代理的服务程序，直接对特定的应用层进行服务，因此也称为应用型防火墙。其核心是运行于防火墙主机上的代理服务器进程，它代替网络用户完成特定的TCP/IP功能。一个代理服务器实际上是一个为特定网络应用而连接两个网络的网关。 3、复合型防火墙 由于对更高安全性的要求，通常把数据包过滤和代理服务系统的功能和特点综合起来，构成复合型防火墙系统。所用主

19、机称为堡垒主机，负责代理服务。各种类型的防火墙都有其各自的优缺点。当前的防火墙产品己不再是单一的包过滤型或代理服务器型防火墙，而是将各种安全技术结合起来，形成一个混合的多级防火墙，以提高防火墙的灵活性和安全性。混合型防火墙3一般采用以下几种技术:(1)动态包过滤；(2)内核透明技术；(3)用户认证机制；(4)内容和策略感知能力；(5)内部信息隐藏；(6)智能日志、审计和实时报警；(7)防火墙的交互操作性等。 (三) 从防火墙结构分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 (四) 按防火墙的应用部署位置分为边界防火墙、个人防火墙和混合防火墙三大类。 (五) 按防火墙性能分为百兆级

20、防火墙和千兆级防火墙两类。 (六)按防火墙使用方法分为网络层防火墙，物理层防火墙和链路层防火墙三类。第二章 防火墙的发展以及关键技术一第一代防火墙由于多数路由器本身就包含有分组过滤功能，故网络访问控制可能通过路控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品4。（一） 第一代防火墙产品的特点：1、利用路由器本身对分组的解析，以访问控制表(Access List)方式实现对分组的过滤；2、过滤判断的依据可以是：地址、端口号、IP旗标及其他网络特征（图2-1）；图2-13、只有分组过滤的功能，且防火墙与路由器是一体的。这样，对安全要求低的网络可以采用路由器附带防火墙功能的方法，而对安

21、全性要求高的则网络需要单独利用一台路由器作为防火墙。（二） 第一代防火墙产品的不足之处十分明显，具体表现为：1、路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。例如，在使用FTP协议时，外部服务器容易从20号端口上与内部网相连，即使在路由器上设置了过滤规则，内部网络的20号端口仍可以由外部探寻。2、路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂，它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性，一般的网络系统管理员难于胜任，加之一旦出现新的协议，管理员就得加上更多的规则去限制，这往往会带来很多错误。3、路由器防火墙的最大隐患是

22、：攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的，黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。4、路由器防火墙的本质缺陷是：由于路由器的主要功能是为网络访问提供动态的、灵活的路由，而防火墙则要对访问行为实施静态的、固定的控制，这是一对难以调和的矛盾，防火墙的规则设置会大大降低路由器的性能。二.第二代防火墙可以说基于路由器的第一代防火墙技术只是网络安全的一种应急措施，用这种权宜之计去对付黑客的攻击是十分危险的。为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络，从而推动了用户防火墙工具套的出现。这就是我们所说的第二代防火墙4（图2-

23、2）。图2-2（一） 第二代防火墙的特点：作为第二代防火墙产品，用户化的防火墙工具套具有以下特点：1、将过滤功能从路由器中独立出来，并加上审计和告警功能；2、针对用户需求，提供模块化的软件包；3、软件可以通过网络发送，用户可以自己动手构造防火墙；4、与第一代防火墙相比，安全性提高了，价格也降低了。（二）第二代防火墙的劣势：由于是纯软件产品，第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求，并带来以下问题：1、配置和维护过程复杂、费时；2、对用户的技术要求高；3、全软件实现，使用中出现差错的情况很多。三.第三代防火墙基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开

24、发商很快推出了建立在通用操作系统上的商用防火墙产品4（图2-3）。（一） 第三代防火墙的特点：近年来市场上广泛使用的就是这一代产品，它们具有如下一些特点：1、是批量上市的专用防火墙产品；2、包括分组过滤或者借用路由器的分组过滤功能；3、装有专用的代理系统，监控所有协议的数据和指令；4、保护用户编程空间和用户可配置内核参数的设置；5、安全性和速度大大提高。（二） 第三代防火墙的优劣：第三代防火墙有以纯软件实现的，也有以硬件方式实现的，它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延，仍表现出不少问题，比如：1、作为基础的操作系统及其内核往往不为防火墙管理者所知，由于源码的保密，

25、其安全性无从保证；2、由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的安全性负责；3、从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统厂商的攻击；4、在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能；5、透明性好，易于使用。图2-3四第四代防火墙（一） 第四代防火墙的主要技术及功能（图2-4）第四代防火墙产品将网关与安全系统合二为一，具有以下技术功能:图2-42、 透明的访问方式。以前的防火墙在访问方式上要么要求用户做系统登录，要么需要通过SOCKS等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术，从而降低了系统登

26、录固有的安全风险和出错概率。3、 灵活的代理系统。代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块，第四代防火墙采用了两种代理机制：一种用于代理从内部网络到外部网络的连接；另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决，后者采用非保密的用户定制代理或保密的代理系统技术来解决。4、多级过滤技术。为保证系统的安全性和防护水平，第四代防火墙采用了三级过滤措施，并辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分组和假冒IP地址；在应用级网关一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所有通用服务；在电路网关一级，实现内部主机与

27、外部站点的透明连接，并对服务的通行实行严格控制。5、网络地址转换技术。第四代防火墙利用NAT技术能透明地对所有内部地址做转换，使得外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己编的IP源地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。6、Internet网关技术5。由于是直接串联在网络之中，第四代防火墙必须支持用户Internet互联的所有服务，同时还要防止与Internet服务有关的安全漏洞，故它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性，对所有的文件和命令

28、均要利用“改变根系统调用(chroot)”做物理上的隔离。在域名服务方面，第四代防火墙采用两种独立的域名服务器：一种是内部DNS服务器，主要处理内部网络和DNS信息；另一种是外部DNS服务器，专门用于处理机构内部向Internet提供的部分DNS信息。在匿名FTP方面，服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中，只支持静态的网页，而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中，对外部访问，防火墙只提供可由内部用户配置的基本的文本信息，而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理，并利用邮件映射与标头剥除的方

29、法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理，网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。7、安全服务器网络(SSN) 。为了适应越来越多的用户向Internet上提供服务时对服务器的需要，第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护，它利用一张网卡将对外服务器作为一个独立网络处理，对外服务器既是内部网络的一部分，又与内部网关完全隔离，这就是安全服务器网络(SSN)技术。而对SSN上的主机既可单独管理，也可设置成通过FTP、Telnet等方式从内部网上管理。SSN方法提供的安全性要比传统的“隔离区(DMZ)”方法好得多，因为SSN与外部网之间有

30、防火墙保护，SSN与风部网之间也有防火墙的保护，而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之，一旦SSN受破坏，内部网络仍会处于防火墙的保护之下，而一旦DMZ受到破坏，内部网络便暴露于攻击之下。8、用户鉴别与加密。为了减低防火墙产品在Telnet、FTP等服务和远程管理上的安全风险，鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段，并实现了对邮件的加密。9、 用户定制服务。为了满足特定用户的特定需求，第四代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有：通用TCP、出站UDP、FTP、SMTP等，如果某一用户需要建立一个数据库的代理

31、，便可以利用这些支持，方便设置。10、审计和告警。第四代防火墙产品采用的审计和告警功能十分健全，日志文件包括：一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个TCP或UDP探寻，并能以发出邮件、声响等多种方式报警。此外，第四代防火墙还在网络诊断、数据备份保全等方面具有特色。（二） 第四代防火墙技术的实现方法在第四代防火墙产品的设计与开发中，安全内核、代理系统、多级过滤、安全服务器、鉴别与加密是关键所在。1、安全内核的实现第四代防火墙是建立在安全

32、操作系统之上的，安全操作系统来自对专用操作系统的安全加固和改造，从现在的诸多产品看，对安全操作系统内核的固化与改造主要从以下几个方面进行：（1）取消危险的系统调用；（2）限制命令的执行权限；（3）取消IP的转发功能；（4）检查每个分组的接口；（5）采用随机连接序号；（6）驻留分组过滤模块；（7）取消动态路由功能；（8）采用多个安全内核。2、代理系统的建立防火墙不允许任何信息直接穿过它，对所有的内外连接均要通过代理系统来实现，为保证整个防火墙的安全，所有的代理都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。 在所有的连接通过防火墙前，所有的代理要检查已定义的访问规则，这些规则控制代理的

33、服务根据以下内容处理分组：（1）源地址；（2）目的地址；（3）时间；（4）同类服务器的最大数量。 所有外部网络到防火墙内部或SSN的连接由进站代理处理，进站代理要保证内部主机能够了解外部主机的所有信息，而外部主机只能看到防火墙之外或SSN的地址。所有从内部网络SSN通过防火墙与外部网络建立的连接由出站代理处理，出站代理必须确保完全由它代表内部网络与外部地址相连，防止内部网址与外部网址的直接连接，同时还要处理内部网络SSN的连接。3、分组过滤器的设计作为防火墙的核心部件之一，过滤器的设计要尽量做到减少对防火墙的访问，过滤器在调用时将被下载到内核中执行，服务终止时，过滤规则会从内核中消除，所有的分

34、组过滤功能都在内核中IP堆栈的深层运行，极为安全。分组过滤器包括以下参数。（1）进站接口；（2）出站接口；（3）允许的连接；（4）源端口范围；（5）源地址；（6）目的端口的范围等。对每一种参数的处理都充分体现设计原则和安全政策。4、 安全服务器的设计安全服务器的设计有两个要点：第一，所有SSN的流量都要隔离处理，即从内部网和外部网而来的路由信息流在机制上是分离的；第二，SSN的作用类似于两个网络，它看上去像是内部网，因为它对外透明，同时又像是外部网络，因为它从内部网络对外访问的方式十分有限。SSN上的每一个服务器都隐蔽于Internet，SSN提供的服务对外部网络而言好像防火墙功能，由于地址已

35、经是透明的，对各种网络应用没有限制。实现SSN的关键在于：（1）解决分组过滤器与SSN的连接；（2）支持通过防火墙对SSN的访问；（3）支持代理服务。5、 鉴别与加密的考虑鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段，鉴别机制除了提供安全保护之外，还有安全管理功能，目前国外防火墙产品中广泛使用令牌鉴别方式，具体方法有两种一种是加密卡(Crypto Card)；另一种是Secure ID，这两种都是一次性口令的生成工具。五、小结通过表2-1我们可以看出从第一代分组过滤防火墙到最新的将网关与安全系统合二为一的第四代防火墙，防火墙的技术发展日趋成熟，从最当初的依赖于路由器的分组过滤技术，

36、到第四代防火墙的防火墙独立化，安全策略也呈现多样化和全面化，但是我们可以看出尽管到了第四代防火墙，依然只是对端口和协议进行控制即网络层控制。日新月异的互联网技术和网络威胁，例如：木马、蠕虫等等都是发生在应用层而并非网络层，让传统防火墙鞭长莫及。同时，传统防火墙表2-1特点及实现方式缺陷第一代防火墙通过路由器的自身分组功能对地址、端口、IP和网络特征进行过滤路由器：提供动态网络访问防火墙：对网络实施静态控制两者相互相矛盾第二代防火墙把路由器的分组过滤功能独立出来，开发出的防火墙系统。实现方式在一代的基础上多了警告和审计功能，手动构造自己的防火墙配置维护复杂，由于是纯软件防火墙，差错频发第三代防火

37、墙建立在操作系统上，延续分组过滤技术，同时出现了代理系统监控所有协议数据和指令，应用网关、电路级网关及加密鉴别等技术。操作系统的源码保密，即使防火墙能有效阻止外部网络攻击，但操作系统的缺陷和操作系统厂商的攻击却束手无策第四代防火墙将网关与安全系统合二为一；多端口并具有地址转换外部无法甄别内部网络；多级过滤，能过滤假冒IP和源路由分组,监测所有Internet通用服务；同时还有Internet网关、安全服务器网络、用户鉴别与加密、用户定制服务、审计和告警、网络诊断、数据备份等技术网络地址转换可以保障内部网络的安全，但它也是一些局限。而且内网可以利用现流传比较广泛的木马程序可以通过网络地址转换做外

38、部连接无法对应用、业务和用户完全识别并加以控制，其次Web2.0时代的新型威胁更多依赖僵尸网络和面向应用的复杂行为，企业必须依赖其他产品的部署以局部缓解现有问题。再次，传统防火墙无法对网络互连及业务流量进行智能化的细粒度控制和优化。企业需要在可选接入链路之间自动切换或自由组合;需要能根据业务的优先级，高效实现链路的失效备援机制;需要识别应用、用户、群组、网络或链路状态，以实现组合和优化。最后，面对分布式的网络环境，传统防火墙没有相应的策略管理和控制，导致运维成本比较高。所以传统防火墙的功能和应对策略面对新兴网络环境已经有所缺失。第三章防火墙技术的发展展望随着以应用为主时代的来临，企业所采用的技

39、术以及面临的威胁都促使了网络安全新要求的产生。Gartner统计（图3-1）表明高达3/4的网络威胁是木马，木马是基于应用层而非网络层的，而防火墙却依然如故，基于端口/协议的防御方式已经无力招架应用环境下的多变威胁6 。因此，需恢复防火墙中对应用程序的可视性与控制性，Gartner所称之“下一代防火墙”开始崭露头角。近日，梭子鱼正式在中国市场发布其2011年度的重量级产品梭子鱼下一代防火墙。ZOL记者第一时间采访到了梭子鱼中国区总经理何平以及梭子鱼中国区技术总监谷新。图3-1何平先生表示：现在从网络上搜索可以发现很多公司都有下一代防火墙，当然很多人会找一些官方的说法，总结起来有三点：第一，下一

40、代防火墙是基于角色和应用的管理设备；第二，它具有传统防火墙的所有功能；第三，具备智能的流量管理控制和策略配合。这也是下一代防火墙的三要素。而梭子鱼此次发布的下一代防火墙除了具备刚才定义的三要素之外，还有一个很重要特性广域网链路均衡。如果用户只有一条链路，一旦保护中断就不能接入。所以现在的安全已经不单纯是有没有病毒的环境，而是要保护业务连续性。梭子鱼下一代防火墙可以很好的完成这个任务。另外，下一代防火墙还具备高效的特点，显然传统UTM在功能叠加上无法实现应用高效，自然在管理控制上也难有起色。下一代防火墙通过融合过程，让管理者更加轻松。德国的客户用了3000台下一代防火墙，却只需2个网管人员，为什

41、么能够做到？因为它有一个集中设备管理器，以此可以监控所有的设备，这种高效的特性无疑对大网络环境有着重要意义。考虑到新产品更强大的功能，ZOL记者询问用户采购新产品会不会带来成本上的压力。何平先生认为新产品推向市场成本肯定会高一些，主要是产能数量没有达到一定规模，造成单体设备成本下不来，但是目前梭子鱼的下一代防火墙价格在用户能够接受的范围内。对于下一代防火墙的出现是否会对梭子鱼目前WEB应用防火墙等相关产品造成冲击，何平先生表示下一代防火墙是一个分界点，梭子鱼的下一代防火墙NG Firewall已经不单纯是4-7层的应用安全，而是网络层+应用层的安全保护，WEB应用防火墙主要用于主机的保护，所以

42、相互之间不排斥，毕竟产品面向对象不同，并且在综合安全中同样需要更专业的设备。据Gartner对500强企业IT技术关注度调查表明（表3-1），2010年排在前两位的技术分别为云计算和虚拟化。对此梭子鱼中国区技术总监谷新表示，下一代防火墙的一个重要属性就是融入到云计算和虚拟化的安全保护中来。对用户来说，梭子鱼不仅要提供虚拟化解决方案，还要有云计算的解决方案，表3-1 Gartner 2010年十大IT技术排名技术名称1云计算(cloud computing)2可用性虚拟化(virtualization for availability)3移动应用(mobile applications)4先进分

43、析方法(advanced analytics)5客户端计算(client computing)6绿色IT(IT for green)7数据中心重塑(reshaping the data center)8社交计算(social computing)9安全活动监测(security-activity monitoring)10闪存(flash memory)包括下一代防火墙控制中心，这是基于云计算的一种管理模式。梭子鱼现在专注于为用户提供易于部署和维护的高性价比的网络安全解决方案，而且这也是未来核心的产品市场理念。结论Gartner统计表明，基于网络层的传统防火墙显得日益先天不足和力不从心。这就需要一种全新的网络安全产品出现，虽然集成多种安全功能的UTM已经面世许久，可是其令人生畏的低下效率实在难以满足客户的需要。下一代防火墙概念应运而生。Gartner将网络防火墙定义为在线安全控制措施，即：可实时在各受信级网络间执行网络安全策略。“下一代防火墙”这一术语以应对目前业务程序使用IT的方法以及针对业务系统所发起的