防火墙发展历程

　　防火墙是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看，防火墙应具有以下五大基本功能：

　　● 过滤进、出网络的数据；

　　● 管理进、出网络的访问行为；

　　● 封堵某些禁止的业务；

　　● 记录通过防火墙的信息内容和活动；

　　● 对网络攻击进行检测和报警。

　　为实现以上功能，在防火墙产品的开发中，人们广泛应用网络拓扑技术、计算机操作系统技术、路由技术、加密技术、访问控制技术、安全审计技术等。

　　综观防火墙产品近年内的发展，可将其分为四个阶段。

　　一. 第一代防火墙：基于路由器的防火墙

　　由于多数路由器中本身就包含有分组过滤功能，故网络访问控制可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。

　　（1）特点

　　① 利用路由器本身对分组的解析，以访问控制表方式实现对分组的过滤。

　　② 过滤判决的依据可以是：地址、端口号、IP旗标及其他网络特征。

　　③ 只有分组过滤功能，且防火墙与路由器是一体的，对安全要求低的网络采用路由器附带防火墙功能的方法，对安全性要求高的网络则可单独利用一台路由器作为防火墙。

　　（2）不足

　　① 本身具有安全漏洞，外部网络要探寻内部网络十分容易。例如：在使用FTP协议时，外部服务器容易从20号端口上与内部网相连，即使在路由器上设置了过滤规则，内部网络的20端口仍可由外部探寻。

　　② 分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂，它涉及到规则的逻辑一致性、作用端口的有效性和规则集的正确性，一般的网络系统管理员难于胜任，加之一旦出现新的协议，管理员就得加上更多的规则去限制，这往往会带来很多错误。

　　③ 攻击者可“假冒”地址，黑客可以在网络上伪造假的路由信息欺骗防火墙。

　　④ 由于路由器的主要功能是为网络访问提供动态的、灵活的路由，而防火墙则要对访问行为实施静态的、固定的控制，这是一对难以调和的矛盾，防火墙的规则设置会大大降低路由器的性能。

　　基于路由器的防火墙只是网络安全的一种应急措施，用这种权宜之计去对付黑客的攻击是十分危险的。

　　二. 第二代防火墙：用户化的防火墙

　　（1）特征

　　① 将过滤功能从路由器中独立出来，并加上审计和告警功能。

　　② 针对用户需求，提供模块化的软件包。

　　③ 软件可通过网络发送，用户可自己动手构造防火墙。

　　④ 与第一代防火墙相比，安全性提高而价格降低了。

　　由于是纯软件产品，第二代防火墙产品无论在实现还是在维护上都对系统管理员提出了相当复杂的要求。

　　（2）问题

　　① 配置和维护过程复杂、费时。

　　② 对用户的技术要求高。

　　③ 全软件实现、安全性和处理速度均有局限。

　　④ 实践表明，使用中出现差错的情况很多。

　　三. 第三代防火墙：建立在通用操作系统上的防火墙

　　基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品，近年来在市场上广泛使用的就是这一代产品。

　　（1）特点

　　① 是批量上市的专用防火墙产品。

　　② 包括分组过滤或借用了路由器的分组过滤功能。

　　③ 装有专用的代理系统，监控所有协议的数据和指令。

　　④ 保护用户编程空间和用户可配置内核参数的设置。

　　⑤ 安全性和速度大为提高。

　　第三代防火墙有以纯软件实现的，也有以硬件方式实现的。但随着安全需求的变化和使用时间的推延，仍表现出不少问题。

　　（2）隐患

　　① 作为基础的操作系统，其内核往往不为防火墙管理者所知，由于原码的保密，其安全性无从保证。

　　② 大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的安全性负责。

　　上述问题在基于Windows NT开发的防火墙产品中表现得十分明显。

　　四. 第四代防火墙：具有安全操作系统的防火墙

　　这是目前防火墙产品的主要发展趋势。具有安全操作系统的防火墙本身就是一个操作系统，因而在安全性上较第三代防火墙有质的提高。获得安全操作系统的办法有两种：一种是通过许可证方式获得操作系统的源码；另一种是通过固化操作系统内核来提高可靠性。

　　（1）特点

　　① 防火墙厂商具有操作系统的源代码，并可实现安全内核。

　　② 对安全内核实现加固处理：即去掉不必要的系统特性，加上内核特性，强化安全保护。

　　③ 对每个服务器、子系统都作了安全处理，一旦黑客攻破了一个服务器，它将会被隔离在此服务器内，不会对网络的其他部分构成威胁。

　　④ 在功能上包括了分组过滤、应用网关、电路级网关，且具有加密与鉴别功能。

　　⑤ 透明性好，易于使用。

　　上述阶段的划分主要以产品为对象，目的在于对防火墙的发展有一个总体勾画。