防火墙的“发胖”与“发威(1)

　　防火墙急速“长胖”为什么？

     由于防火墙在网络中所处的重要位置，因此，人们对防火墙可以说是寄予厚望。现在防火墙正在不断增加各种各样的新功能，因此防火墙正在急剧“长胖”。

　　访问控制手段不断增加

　　防火墙现在正由最初的简单IP/PORT判定控制，发展到通信报文协议头的各部分，以及通信协议的应用层命令、用户规则、流量控制、代理控制、地址转换控制、连接数量控制和历史状态控制（状态检测）等。

　　访问控制功能不断增加

　　用户对防火墙新的访问控制功能不断提出新的要求，因为这些功能在防火墙均能实现，并且还较简单；另外在经济上，这意味着低成本，于是在防火墙上出现了很多网络互连的功能，如NAT、地址映射、带宽管理、计费功能。

　　VPN正在成为新的亮点

　　VPN可以为跨公网的内部通信提供安全平台，成为在互联网应用中的一大亮点。防火墙首当其冲承担了此功能，许多防火墙都可以实现此功能，并且将其作为一标准功能发布。

　　入侵检测成为用户理所当然的要求

　　很多用户将安全寄托在防火墙上，自然要求防火墙能够成功检测对内部网络构成威胁的各种

　　攻击行为并期望阻止进一步的攻击行为，如DoS/DDoS攻击等。

　　审计是一种重要的安全措施

　　审计管理可以监控通信行为和完善安全策略，对入侵者还是一种有效的威慑。强大、高效而方便的审计功能在防火墙的功能发展中可演绎的内容很多，形成了形形色色的审计接口和审计形态。

　　防火墙自身要不断发展，同时，还要适应已经处于运行状态的各种类型的不同使用方案、不同结构和不同配置的网络环境，这就使得防火墙越来越“胖”。

　　防火墙“胖”了好用吗？

　　防火墙已经在很多方面作了巨大的努力，在功能上丰富了很多，它正承载着用户们的众多期望向“大而全”成长。很多网络系统中也使用了防火墙，并进行了有效的管理，似乎防火墙正在成为网络安全的王中之王。可事实呢？