电脑防火墙 5.3建立以防火墙为核心的综合安全体系

防火墙的局限性

防火墙还是存在一定的局限性，不能完全保证网络中计算机的绝对安全。比如防火墙防外不防内，不能防止来自网络内部的攻击；防火墙不能防止规则配置不当或错误配置引起的安全威胁，只有对其规定好的配置规则进行工作，对于实时的攻击或异常的行为不能做出及时的反应；防火墙不能阻止被病毒感染的软件或文件的传输，不能预防来自应用层的攻击；防火墙也无法阻挡利用标准网络协议中的缺陷所发出的攻击，一旦防火墙放行了某些标准网络协议，网络就有可能被黑客利用该协议中的缺陷进行攻击。

防火墙的发展趋势

随着网络应用的不断发展，防火墙愈发成为网络的重要安全保障，未来防火墙具有如下的发展趋势：

1、智能技术的利用。传统防火墙的安全策略是静态的，静态防火墙只能识别一些已知的攻击行为，对于未知的攻击则显得力不从心。根据网络上的动态威胁，自动学习，自动生成安全策略并自动配置的智能防火墙会成为未来的发展趋势之一。

2、分布式技术的利用。分布式技术是发展的趋势，多台物理防火墙协同工作，组织成一个强大的、具备并行处理能力、负载均衡的逻辑防火墙，不仅保证了大型网络安全策略的一致，而且便于集中管理，大大降低了投入的资金、人力及管理成本。

3、成为网络安全管理平台的一个组件。随着网络安全管理平台的发展，未来所有的网络安全设备将由安全管理平台统一调度和管理，防火墙需要向安全管理平台提供接口，成为多个安全系统协同工作的网络安全管理平台中的重要一员。

4、向模块化演进。防火墙的设计与开发离不开用户的需求，根据用户需求和网络威胁动态配置的模块化防火墙，可以实现更好的扩展性，而且在维护和升级等方面也更加方便，因此防火墙的模块化发展是未来的重要发展趋势之一。

5、深入应用防护。随着网络安全技术的发展，网络层和操作系统的漏洞将越来越少，但应用层的安全问题却越来越突出，将来防火墙会把更多的注意力放在深度应用防护上， 支持更多的应用层协议，不断挖掘防护的深度和广度。

6、自身性能和安全性的提升。随着算法、芯片和硬件技术的发展，防火墙的检测速度、响应速度和性能也会不断提升，其自身的安全性也会得到有效的提高，从而为网络提供更高效、稳定的安全保障。

5.1 分布式执行和集中式管理

分布式或分层的安全策略执行

局域网从单一结构到多结构多接入技术发展，防火墙模块分别部署在各个内部网络和外部网络交界的节点上，解决了多接入点数据访问的问题；在接入点和内部网络关键数据交换节点上分级部署电脑防火墙，实现了层层设防、分层过滤的更加安全的网络安全防护；网络防火墙与主机防火墙相互配合又加强了系统资源的安全性。这种方式又被称为区域联防或者深度防御。

集中式管理

集中式管理具有管理成本低、容易实现快速响应和快速防御、能够保证在大型网络中安全策略的一致性等优点。未来研究的重点是集中式管理快速、高效、低耗的实现技术。

5.2深度过滤

深度过滤技术又称为深度检测技术，是防火墙技术的集成和优化。深度过滤技术一般将状态检测技术和应用层技术结合在一起，对数据进行深入细致的分析和检查。具体实现上，深度过滤技术可以组合不同的现有防火墙技术，达到不同的检测深度。

基本特征：

正常化，解决特征字符串伪装的问题双向负载检测，对所有层次的数据进行检查能处理应用层加密后的数据。解密SSL协议协议一致性，确认数据是否符合协议的定义5.3建立以防火墙为核心的综合安全体系

实现防火墙和其他网络安全产品联动，构建一个综合安全体系，最大限度发挥各设备优势。

不同产品都有其自身的特性，如何安排好它们的位置、设定好它们的功能是一个非常复杂的任务。

一个需要考虑的问题是这些设备间的互操作问题。各个厂商的不同设备都有其专属性，包括代码和通信协议等都不相同，这是设备间实现互联互通的主要障碍。

5.4防火墙本身的多功能化，变被动防御为主动防御

用户在进行防火墙的选择时，出于降低复杂性和节约成本的目的，往往要求防火墙能够支持更多的功能。

随着各种功能模块加入进防火墙，防火墙将从目前被动防护设备发展为可以智能、动态地保护网络的主动安全设备。例如反向跟踪的入侵检测，各种认证技术，权限分配等

5.5强大的审计与自动日志分析动能

随着安全管理工具不断完善，针对可疑行为的审计与自动安全日志分析工具将成为防火墙产品必不可少的组成部分。它们可以提供对潜在的威胁和攻击行为的早期预警。

及时发现系统的安全漏洞，如过滤规则的冲突，迅速调整安全策略

5.6硬件化

为了能够高速地执行更多的功能，防火墙必须实现硬件化。硬件化评判的标准是看在数据转发控制过程是由软件完成还是硬件完成。硬件化的系统使用的是专用的芯片级处理机制，主要有基于ASIC和基于网络处理器（NP）两种方式。

采用ASIC技术的防火墙往往设计了专门的数据包处理流水线，对存储器等资源进行了优化。

NP是专门为处理数据包而设计的可编程处理器。NP对数据包处理的一般性任务进行了优化，同时其体系结构也采用高速的接口技术和总线规范。

5.7专用化

用户已经不满足于对整个内部网络统一标准的安全防护，而是要求根据各个子系统的不同功能，对内部网络不同部门实施不同级别的安全防护。也即防火墙要能实施精细的安全管理。

由此，专用防火墙的概念也被提了出来。它可以根据特定的需求定制安全策略，实现了特殊用户的专属保护。目前，单向防火墙，又称为网络二极管，就是其中比较重要的一种。其作用是使网络上的信息只能从外部网络流入内部网络，而不能从内部网络流入外部网络，从而达到保密的目的。

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!