網(wǎng)絡(luò)攻防原理與技術(shù) 第3版 教案 -第12講 網(wǎng)絡(luò)防火墻

內(nèi)容備注《網(wǎng)絡(luò)攻防原理與技術(shù)》課程教案講課題目：第十二講網(wǎng)絡(luò)防火墻目的要求：了解網(wǎng)絡(luò)防火墻的基本概念；掌握網(wǎng)絡(luò)防火墻的工作原理；掌握網(wǎng)絡(luò)防火墻的體系結(jié)構(gòu)；了解防火墻評(píng)價(jià)標(biāo)準(zhǔn)；了解網(wǎng)絡(luò)防火墻的發(fā)展趨勢(shì)。重點(diǎn)難點(diǎn)：網(wǎng)絡(luò)防火墻的工作原理；網(wǎng)絡(luò)防火墻的體系結(jié)構(gòu)。方法步驟：理論講授。器材保障：電腦、投影儀。主要教學(xué)內(nèi)容:一、防火墻概述(一)防火墻的相關(guān)概念網(wǎng)絡(luò)型防火墻（network-basedfirewall），簡(jiǎn)稱網(wǎng)絡(luò)防火墻，部署于不同安全域之間（通常是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的邊界位置），對(duì)經(jīng)過的數(shù)據(jù)流進(jìn)行解析，具備網(wǎng)絡(luò)層、應(yīng)用層訪問控制及安全防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品。網(wǎng)絡(luò)防火墻主要有兩種產(chǎn)品形態(tài)：?jiǎn)我恢鳈C(jī)防火墻、路由器集成防火墻。單一主機(jī)防火墻，也稱為硬件防火墻，是目前最常見的網(wǎng)絡(luò)防火墻，其硬件平臺(tái)是一臺(tái)主機(jī)，通常是一臺(tái)高性能服務(wù)器，有至少兩塊網(wǎng)卡，每塊網(wǎng)卡連接不同的網(wǎng)絡(luò)，主機(jī)上運(yùn)行防火墻軟件，執(zhí)行防火墻功能。除了具有專用硬件運(yùn)行平臺(tái)的單一主機(jī)防火墻之外，一些網(wǎng)絡(luò)防火墻作為一個(gè)模塊集成在路由器中，與路由功能共用一個(gè)硬件平臺(tái)，這就是路由器集成防火墻。目前，大多數(shù)中高檔路由器都支持這種模式的防火墻。主機(jī)防火墻（host-basedfirewall）部署于計(jì)算機(jī)（包括個(gè)人計(jì)算機(jī)和服務(wù)器）上，也稱為個(gè)人防火墻，提供網(wǎng)絡(luò)層訪問控制，應(yīng)用程序訪問限制和攻擊防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品。主機(jī)防火墻的網(wǎng)絡(luò)層訪問控制功能與網(wǎng)絡(luò)防火墻的網(wǎng)絡(luò)層訪問控制功能類似。主機(jī)防火墻本質(zhì)是一類安裝在個(gè)人計(jì)算機(jī)上的應(yīng)用軟件，位于主機(jī)和外部網(wǎng)絡(luò)之間，為單臺(tái)主機(jī)提供安全防護(hù)。云防火墻的功能與傳統(tǒng)防火墻類似，差別主要有兩點(diǎn)：一是它部署在云上，以云服務(wù)的形式為用戶提供防火墻功能，所以也稱為“防火墻即服務(wù)（FirewallasaService，F(xiàn)WaaS）”；二是保護(hù)的對(duì)象主要是云上網(wǎng)絡(luò)資產(chǎn)，這些云上資產(chǎn)（可能來自于不同云服務(wù)提供商）形成用戶的虛擬專有云（VirtualPrivateCloud，VPC），類似于傳統(tǒng)防火墻保護(hù)的內(nèi)網(wǎng)資產(chǎn)。(二)網(wǎng)絡(luò)防火墻的功能防火墻對(duì)內(nèi)外網(wǎng)之間的通信進(jìn)行監(jiān)控、審計(jì)，在網(wǎng)絡(luò)周界處阻止網(wǎng)絡(luò)攻擊行為，保護(hù)內(nèi)網(wǎng)中脆弱以及存在安全漏洞的網(wǎng)絡(luò)服務(wù)，防止內(nèi)網(wǎng)信息暴露。具體來說，網(wǎng)絡(luò)防火墻具有以下功能：1.網(wǎng)絡(luò)層控制在網(wǎng)絡(luò)層對(duì)網(wǎng)絡(luò)流量進(jìn)行控制，包括訪問控制和流量管理。訪問控制功能主要包括：包過濾，對(duì)進(jìn)出的網(wǎng)絡(luò)數(shù)據(jù)包的源IP地址、目的IP地址、源端口、目的端口、協(xié)議類型等進(jìn)行檢查，根據(jù)預(yù)定的安全規(guī)則決定是否阻止數(shù)據(jù)包通過；網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），根據(jù)需要實(shí)現(xiàn)多對(duì)一、一對(duì)多、多對(duì)多的內(nèi)外網(wǎng)地址轉(zhuǎn)換。流量管理是指根據(jù)策略調(diào)整客戶端占用的帶寬，主要功能包括：帶寬管理，根據(jù)源IP、目的IP、應(yīng)用類型和時(shí)間段對(duì)流量速率進(jìn)行控制、速率保證；連接數(shù)控制，限制單個(gè)IP的最大并發(fā)會(huì)話數(shù)和新建連接速率，防止大量非法連接產(chǎn)生時(shí)影響網(wǎng)絡(luò)性能；會(huì)話管理，當(dāng)會(huì)話處于不活躍狀態(tài)一定時(shí)間或會(huì)話結(jié)束后，終止會(huì)話。2.應(yīng)用層控制在應(yīng)用層對(duì)網(wǎng)絡(luò)流量進(jìn)行控制，包括：用戶管控，基于用戶認(rèn)證的網(wǎng)絡(luò)訪問控制功能；應(yīng)用類型控制，根據(jù)應(yīng)用特征識(shí)別并控制各種應(yīng)用流量，包括標(biāo)準(zhǔn)應(yīng)用，也支持自定義應(yīng)用的流量控制；應(yīng)用內(nèi)容控制，基于應(yīng)用的內(nèi)容對(duì)應(yīng)用流量進(jìn)行控制，如根據(jù)HTTP協(xié)議報(bào)文的請(qǐng)求方式、傳輸內(nèi)容中的關(guān)鍵字等Web應(yīng)用流量進(jìn)行控制。3.攻擊防護(hù)識(shí)別并阻止特定網(wǎng)絡(luò)攻擊的流量。除了自身提供的攻擊防護(hù)外，很多防火墻還提供聯(lián)動(dòng)接口，通過接口與其他網(wǎng)絡(luò)安全系統(tǒng)（如入侵檢測(cè)系統(tǒng)）進(jìn)行聯(lián)動(dòng)，如執(zhí)行其他安全系統(tǒng)下發(fā)的安全策略等。4.安全審計(jì)、告警與統(tǒng)計(jì)防火墻位于內(nèi)外網(wǎng)的邊界位置，能夠監(jiān)視內(nèi)外網(wǎng)之間所有的通信數(shù)據(jù)，可以詳盡了解在什么時(shí)刻由哪個(gè)源地址向哪個(gè)目的地址發(fā)送了怎樣負(fù)載內(nèi)容的數(shù)據(jù)包。防火墻可以記錄下所有的網(wǎng)絡(luò)訪問并進(jìn)行審計(jì)記錄，并對(duì)事件日志進(jìn)行管理。同時(shí)，防火墻還可以對(duì)網(wǎng)絡(luò)使用情況進(jìn)行統(tǒng)計(jì)分析。二、防火墻的工作原理從具體的實(shí)現(xiàn)技術(shù)上看，防火墻可以分為包過濾防火墻（Packet-filteringFirewalls）和應(yīng)用網(wǎng)關(guān)防火墻（ApplicationGatewayFirewalls）兩類。包過濾防火墻又可以細(xì)分為無狀態(tài)包過濾防火墻（StatelessPacket-filteringFirewalls）和有狀態(tài)包過濾防火墻（StatePacket-filteringFirewalls）。通常情況下，如果沒有特別說明，包過濾防火墻是指無狀態(tài)包過濾防火墻，而將有狀態(tài)包過濾防火墻稱為狀態(tài)檢測(cè)防火墻(StateInspectionFirewalls)。（一）包過濾防火墻包過濾防火墻檢查數(shù)據(jù)包的包頭信息，依據(jù)事先設(shè)定的過濾規(guī)則，決定是否允許數(shù)據(jù)包通過。包過濾防火墻主要在網(wǎng)絡(luò)層和傳輸層起作用。包頭中的協(xié)議類型、源地址、目的地址、TCP/UDP源端口號(hào)、TCP/UDP目的端口號(hào)、ICMP消息類型以及各種標(biāo)志位，如TCPSYN標(biāo)志、TCPACK標(biāo)志，都可以用作為判定參數(shù)。包過濾防火墻通常是具有包過濾功能的路由器，因此也常被稱為篩選路由器或屏蔽路由器（ScreeningRouter）。具有包過濾功能的路由器，可以在網(wǎng)絡(luò)接口設(shè)置過濾規(guī)則。數(shù)據(jù)包進(jìn)出路由器時(shí)，路由器依據(jù)在數(shù)據(jù)包出入方向配置的規(guī)則處理數(shù)據(jù)包。如果匹配數(shù)據(jù)包的規(guī)則允許數(shù)據(jù)包發(fā)送，數(shù)據(jù)包將依據(jù)路由表進(jìn)行轉(zhuǎn)發(fā)。如果匹配數(shù)據(jù)包的規(guī)則拒絕數(shù)據(jù)包發(fā)送，數(shù)據(jù)包將被直接丟棄。過濾規(guī)則是包過濾防火墻的核心，每條過濾規(guī)則由匹配標(biāo)準(zhǔn)和防火墻操作兩部分組成。匹配規(guī)則一般基于包頭信息，可以是以源地址作為匹配規(guī)則，也可以綜合地址、端口、協(xié)議、標(biāo)識(shí)位等信息構(gòu)建復(fù)合規(guī)則。包過濾防火墻執(zhí)行的操作只有允許和拒絕兩種。如果防火墻執(zhí)行允許操作，數(shù)據(jù)包能夠正常通過防火墻，不受影響。如果防火墻執(zhí)行拒絕操作，數(shù)據(jù)包將被丟棄，無法到達(dá)目的主機(jī)。包過濾防火墻正常工作通常需要滿足六項(xiàng)基本要求，即：1）包過濾防火墻必須能夠存儲(chǔ)包過濾規(guī)則。2）當(dāng)數(shù)據(jù)包到達(dá)防火墻的相應(yīng)端口時(shí)，防火墻能夠分析IP、TCP、UDP等協(xié)議報(bào)文頭字段。3）包過濾規(guī)則的應(yīng)用順序與存儲(chǔ)順序相同。4）如果一條過濾規(guī)則阻止某個(gè)數(shù)據(jù)包的傳輸，那么此數(shù)據(jù)包便被防火墻丟棄。5）如果一條過濾規(guī)則允許某個(gè)數(shù)據(jù)包的傳輸，那么此數(shù)據(jù)包可以正常通行。6）從安全的角度出發(fā)，如果某個(gè)數(shù)據(jù)包不匹配任何一條過濾規(guī)則，那么該數(shù)據(jù)包應(yīng)當(dāng)被防火墻丟棄。從安全的角度看，包過濾防火墻的默認(rèn)處理方法應(yīng)當(dāng)是拒絕數(shù)據(jù)包。因?yàn)槿绻捎媚J(rèn)允許的策略，一旦安全管理員考慮不充分，一些需要拒絕的數(shù)據(jù)包類型沒有以過濾規(guī)則的形式加入ACL，這些數(shù)據(jù)包將按照默認(rèn)的允許規(guī)則通過防火墻，對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅。包過濾防火墻主要有以下幾方面優(yōu)點(diǎn)。首先，將包過濾防火墻放置在網(wǎng)絡(luò)的邊界位置，即可以對(duì)整個(gè)網(wǎng)絡(luò)實(shí)施保護(hù)。其次，包過濾操作處理速度快、工作效率高，對(duì)正常網(wǎng)絡(luò)通信的影響小。另外，包過濾防火墻對(duì)用戶和應(yīng)用都透明，內(nèi)網(wǎng)用戶無需對(duì)主機(jī)進(jìn)行特殊設(shè)置。包過濾防火墻也存在一些缺陷。首先，包過濾防火墻主要依賴于對(duì)數(shù)據(jù)包網(wǎng)絡(luò)層和傳輸層首部信息的判定，不對(duì)應(yīng)用負(fù)載進(jìn)行檢查，判定信息的不足使其難以對(duì)數(shù)據(jù)包進(jìn)行細(xì)致的分析。其次，包過濾防火墻的規(guī)則配置較為困難，特別是對(duì)于安全策略復(fù)雜的大型網(wǎng)絡(luò)，如果包過濾規(guī)則配置不當(dāng)，防火墻難以有效地進(jìn)行安全防護(hù)。再者，包過濾防火墻支持的規(guī)則數(shù)量有限，如果規(guī)則過多，數(shù)據(jù)包依次與規(guī)則匹配，將降低網(wǎng)絡(luò)效率。此外，由于數(shù)據(jù)包中的字段信息容易偽造，攻擊者可以通過IP欺騙等方法繞過包過濾防火墻，而包過濾防火墻本身難以進(jìn)行用戶身份認(rèn)證，這些因素使得攻擊者可能繞過包過濾防火墻實(shí)施攻擊。狀態(tài)檢測(cè)防火墻狀態(tài)檢測(cè)防火墻是一種有狀態(tài)的包過濾防火墻，能夠基于網(wǎng)絡(luò)連接狀態(tài)信息進(jìn)行包過濾。狀態(tài)檢測(cè)防火墻在接收到數(shù)據(jù)包時(shí)，將以連接狀態(tài)表為基礎(chǔ)，依據(jù)配置的包過濾規(guī)則，判斷是否允許數(shù)據(jù)包通過，從而更加有效地保護(hù)網(wǎng)絡(luò)安全。使用狀態(tài)檢測(cè)防火墻，提升了攻擊者滲透防火墻進(jìn)行網(wǎng)絡(luò)攻擊的難度。攻擊者發(fā)出的數(shù)據(jù)包在防火墻的連接狀態(tài)表中如果不存在匹配將無法通過防火墻。攻擊者即使通過網(wǎng)絡(luò)嗅探，獲得了能夠通過防火墻的某個(gè)TCP連接的具體信息。但是要采用偽造源地址的方法向內(nèi)網(wǎng)主機(jī)發(fā)送數(shù)據(jù)包，攻擊也很難奏效。與無狀態(tài)防火墻相比，狀態(tài)檢測(cè)防火墻能夠提供更全面的日志信息，有助于安全管理員更全面的對(duì)網(wǎng)絡(luò)通信情況進(jìn)行分析，及時(shí)發(fā)現(xiàn)異常的網(wǎng)絡(luò)通信行為。狀態(tài)檢測(cè)防火墻在使用中存在一些限制。首先，很多網(wǎng)絡(luò)協(xié)議沒有狀態(tài)信息，它們不像TCP協(xié)議一樣有連接建立、連接維護(hù)和連接拆除的具體過程。在這種情況下，只能采用一些變通的方法。其次，一些協(xié)議在通信過程中會(huì)動(dòng)態(tài)建立子連接傳輸數(shù)據(jù)，如FTP協(xié)議。FTP的客戶端程序在與服務(wù)端的21端口建立連接以后，會(huì)指定一個(gè)隨機(jī)端口作為數(shù)據(jù)傳輸端口并利用PORT命令告知服務(wù)端選擇的端口。對(duì)于此類協(xié)議，有狀態(tài)的包過濾防火墻必須跟蹤連接信息，掌握子連接使用的端口并在狀態(tài)表中記錄，從而確保子連接能夠通過防火墻。為了建立和管理連接狀態(tài)表，狀態(tài)檢測(cè)防火墻需要付出高昂的處理開銷，對(duì)硬件設(shè)備的性能有更高的要求。應(yīng)用網(wǎng)關(guān)防火墻應(yīng)用網(wǎng)關(guān)防火墻以代理服務(wù)器（ProxyServer）為基礎(chǔ)，也常稱為應(yīng)用級(jí)防火墻，或應(yīng)用代理防火墻，或代理防火墻。代理服務(wù)器作用在應(yīng)用層，通常被稱為應(yīng)用代理，在內(nèi)網(wǎng)主機(jī)與外網(wǎng)主機(jī)之間進(jìn)行信息交換。如果內(nèi)網(wǎng)用戶試圖訪問外網(wǎng)服務(wù)器，代理服務(wù)器在確認(rèn)內(nèi)網(wǎng)用戶的訪問請(qǐng)求后，將訪問請(qǐng)求轉(zhuǎn)發(fā)給外網(wǎng)服務(wù)器。外網(wǎng)服務(wù)器的響應(yīng)數(shù)據(jù)先到達(dá)代理服務(wù)器，由代理服務(wù)器將響應(yīng)回送給內(nèi)網(wǎng)用戶。在此過程中，代理服務(wù)器位于內(nèi)網(wǎng)用戶與外網(wǎng)服務(wù)器之間，對(duì)內(nèi)網(wǎng)用戶和外網(wǎng)服務(wù)器都完全透明。內(nèi)網(wǎng)用戶認(rèn)為自己直接和外網(wǎng)服務(wù)器進(jìn)行通信，外網(wǎng)服務(wù)器同樣認(rèn)為自己的通信對(duì)象就是一臺(tái)普通的客戶機(jī)。代理服務(wù)器能夠理解應(yīng)用協(xié)議，在數(shù)據(jù)包到達(dá)內(nèi)網(wǎng)用戶前攔截并進(jìn)行詳細(xì)分析，根據(jù)應(yīng)用上下文對(duì)網(wǎng)絡(luò)通信進(jìn)行精準(zhǔn)的判定，有助于檢測(cè)緩沖區(qū)溢出攻擊、SQL注入攻擊等等應(yīng)用層攻擊。同時(shí)，所有網(wǎng)絡(luò)數(shù)據(jù)包的首部和負(fù)載都可以被記錄，從而實(shí)現(xiàn)完善的審計(jì)?？傮w上看，基于代理服務(wù)器的應(yīng)用網(wǎng)關(guān)防火墻由于完整實(shí)現(xiàn)了所代理的應(yīng)用協(xié)議，所以能夠?qū)f(xié)議報(bào)文進(jìn)行細(xì)粒度的監(jiān)控、過濾和記錄。此外，應(yīng)用網(wǎng)關(guān)防火墻還可以對(duì)用戶身份進(jìn)行認(rèn)證，確保只有允許的用戶才能通過。需要說明的是，很多應(yīng)用網(wǎng)關(guān)防火墻也使用靜態(tài)包過濾、狀態(tài)監(jiān)測(cè)技術(shù)對(duì)網(wǎng)絡(luò)流量進(jìn)行安全檢查。應(yīng)用網(wǎng)關(guān)防火墻也存在一些缺陷，主要表現(xiàn)為以下幾點(diǎn)：1）從能力上看，每種應(yīng)用服務(wù)需要專門的代理模塊進(jìn)行安全控制，而不同應(yīng)用服務(wù)采用的網(wǎng)絡(luò)協(xié)議存在較大差異，不能采用統(tǒng)一的方法進(jìn)行分析，給代理模塊的實(shí)現(xiàn)帶來了很大困難。實(shí)際應(yīng)用中，大部分代理服務(wù)器只能支持部分應(yīng)用服務(wù)。2）從性能上看，應(yīng)用網(wǎng)關(guān)防火墻的性能往往弱于包過濾防火墻。究其原因，應(yīng)用代理需要檢查數(shù)據(jù)負(fù)載，分析應(yīng)用層的內(nèi)容，而包過濾防火墻只需要檢查數(shù)據(jù)包包頭信息。對(duì)于相同的數(shù)據(jù)包，應(yīng)用代理的檢查時(shí)間往往要比包過濾防火墻更長(zhǎng)。3）從配置和管理的復(fù)雜性看，應(yīng)用網(wǎng)關(guān)防火墻需要針對(duì)應(yīng)用服務(wù)類型逐一設(shè)置，而且管理員必須對(duì)應(yīng)用協(xié)議有深入理解，管理的復(fù)雜性較高。下一代防火墻Gartner于2009年發(fā)布了《定義下一代防火墻（DefiningtheNext-GenerationFirewall）》研究報(bào)告，給出了下一代防火墻定義：一種深度包檢測(cè)防火墻，超越了基于端口、協(xié)議的檢測(cè)和阻斷，增加了應(yīng)用層的檢測(cè)和入侵防護(hù)，得到了業(yè)界的認(rèn)可。下一代防火墻應(yīng)該具備傳統(tǒng)企業(yè)級(jí)防火墻的全部功能，如基礎(chǔ)的包過濾、狀態(tài)檢測(cè)、NAT、VPN等，以及面對(duì)一切網(wǎng)絡(luò)流量時(shí)保持高穩(wěn)定性和可用性。此外，下一代防火墻還必須具有以下幾種功能：（1）針對(duì)應(yīng)用、用戶、終端及內(nèi)容的高精度管控。高精度應(yīng)用識(shí)別和管控是下一代防火墻實(shí)現(xiàn)全業(yè)務(wù)精準(zhǔn)訪問控制的基礎(chǔ)，不僅需要管控平臺(tái)化應(yīng)用的子功能，還需要針對(duì)用戶、終端和內(nèi)容進(jìn)行高精度的識(shí)別控制。（2）外部安全智能。下一代防火墻需要具有與外部云計(jì)算聯(lián)動(dòng)的能力，如病毒云查殺，利用大數(shù)據(jù)分析技術(shù)應(yīng)對(duì)新型安全威脅。（3）一體化引擎多安全模塊智能數(shù)據(jù)聯(lián)動(dòng)。下一代防火墻必須采用面向應(yīng)用的一體化智能防護(hù)引擎架構(gòu)，基于深層次、高精度的智能流量識(shí)別技術(shù)，同時(shí)具備多個(gè)安全模塊，包括入侵防護(hù)、病毒防御、僵尸網(wǎng)絡(luò)隔離、Web安全防護(hù)、數(shù)據(jù)泄漏防護(hù)等，使之能夠全方位地對(duì)抗安全威脅，并實(shí)現(xiàn)智能的數(shù)據(jù)聯(lián)動(dòng)以提供更全面的安全決策信息。（4）可視化智能管理。提供簡(jiǎn)單的人機(jī)交互界面及直觀的異常輸出呈現(xiàn)，降低復(fù)雜網(wǎng)絡(luò)環(huán)境下的安全配置難度，提升異常輸出的豐富度、友好度以及安全事件溯源的速度。三、防火墻的體系結(jié)構(gòu)（一）相關(guān)概念1.堡壘主機(jī)。堡壘主機(jī)是指經(jīng)過安全增強(qiáng)的網(wǎng)絡(luò)主機(jī)，允許外網(wǎng)主機(jī)訪問并可向外網(wǎng)提供一些網(wǎng)絡(luò)服務(wù)（即作為應(yīng)用代理），亦可訪問內(nèi)網(wǎng)，同時(shí)對(duì)經(jīng)過本機(jī)的內(nèi)、外網(wǎng)的網(wǎng)絡(luò)流量進(jìn)行安全檢查、控制、審計(jì)等。堡壘主機(jī)的安全加固措施主要包括：使用安全性較高的操作系統(tǒng)，及時(shí)安裝補(bǔ)丁程序；關(guān)閉非必需的服務(wù)；避免使用不必要的軟件；禁用不必要的賬戶；有限制地訪問磁盤，避免被植入惡意程序。通過這些舉措來增強(qiáng)堡壘主機(jī)的安全，防止其被攻擊者控制。2.安全域。安全域是指具有相同安全要求的網(wǎng)絡(luò)區(qū)域。通常情況下，防火墻將網(wǎng)絡(luò)區(qū)域按安全等級(jí)劃分成5種，安全等級(jí)從低到高分別是：不信任域（untrustzone）、非軍事化區(qū)或隔離區(qū)或中立區(qū)（DemilitarizedZone，DMZ）、信任域（trustzone）、本地域（localzone）、管理域（managementzone）。不信任域的安全等級(jí)最低，通常將外網(wǎng)，如Internet定義為不信任域。同一安全域內(nèi)的網(wǎng)絡(luò)主機(jī)可以相互通信，而不同安全域之間的通信則需要在防火墻安全策略允許的情況下才能進(jìn)行。防火墻體系結(jié)構(gòu)定義為：防火墻的所有網(wǎng)絡(luò)安全域以及域間通信控制策略的集合，即防火墻體系結(jié)構(gòu)決定了防火墻支持的網(wǎng)絡(luò)安全域的種類，以及如何控制不同安全域之間的通信。（二）屏蔽路由器結(jié)構(gòu)屏蔽路由器結(jié)構(gòu)（ScreeningRouterArchitecture），也稱為包過濾路由器結(jié)構(gòu)。在這種結(jié)構(gòu)中，除防火墻自身的安全域外，只有兩類安全域：不信任域和信任域，分別對(duì)應(yīng)外網(wǎng)（互聯(lián)網(wǎng)）和內(nèi)網(wǎng)。防火墻采用包過濾技術(shù)對(duì)內(nèi)外網(wǎng)之間的所有通信進(jìn)行檢查、過濾。屏蔽路由器結(jié)構(gòu)具有硬件成本低、結(jié)構(gòu)簡(jiǎn)單，易于部署的優(yōu)點(diǎn)。要確保防護(hù)體系的功能充分發(fā)揮，包過濾防火墻是首要的保護(hù)對(duì)象，要避免其被攻擊者控制。由于包過濾防火墻通常在路由器上實(shí)現(xiàn)，而路由器對(duì)外提供的網(wǎng)絡(luò)服務(wù)數(shù)量很少，因此，包過濾防火墻的防護(hù)相對(duì)于一般主機(jī)的防護(hù)而言，簡(jiǎn)單易于實(shí)施。屏蔽路由器結(jié)構(gòu)作為最簡(jiǎn)單的一種防火墻結(jié)構(gòu)，完全依賴核心組件包過濾路由器，一旦包過濾路由器工作異常則防火墻將失效。如果包過濾路由器配置不當(dāng)，將導(dǎo)致惡意流量通過。若包過濾路由器被攻擊者控制，攻擊者能夠隨意修改防火墻的過濾規(guī)則。此外，包過濾路由器的日志記錄功能較弱，無法進(jìn)行用戶身份認(rèn)證。（三）雙宿主機(jī)結(jié)構(gòu)在雙宿主機(jī)結(jié)構(gòu)（Dual-HomedHostArchitecture）中，防火墻連接的網(wǎng)絡(luò)區(qū)域也分為不信任域和信任域，不同之處在于防火墻運(yùn)行平臺(tái)是一臺(tái)雙宿堡壘主機(jī)，而不是包過濾路由器，這種結(jié)構(gòu)也稱為雙宿堡壘主機(jī)結(jié)構(gòu)。堡壘主機(jī)的兩個(gè)網(wǎng)絡(luò)接口分別與受保護(hù)的內(nèi)網(wǎng)和存在安全威脅的外部網(wǎng)絡(luò)（互聯(lián)網(wǎng)）相連。在雙宿主機(jī)結(jié)構(gòu)中，堡壘主機(jī)上運(yùn)行應(yīng)用網(wǎng)關(guān)防火墻軟件，在內(nèi)外網(wǎng)之間轉(zhuǎn)發(fā)網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)包，以及提供一些設(shè)定的網(wǎng)絡(luò)服務(wù)。內(nèi)外網(wǎng)主機(jī)無法直接通信，所有的通信數(shù)據(jù)經(jīng)由堡壘主機(jī)轉(zhuǎn)發(fā)，堡壘主機(jī)可以監(jiān)視內(nèi)外網(wǎng)之間的所有通信。如果禁止路由功能，堡壘主機(jī)連接的2個(gè)網(wǎng)絡(luò)無法通過該主機(jī)相互通信，但是每個(gè)網(wǎng)絡(luò)都可以訪問堡壘主機(jī)提供的網(wǎng)絡(luò)服務(wù)。雙宿主機(jī)結(jié)構(gòu)的主要缺點(diǎn)在于這種體系結(jié)構(gòu)的核心防護(hù)點(diǎn)是雙宿堡壘主機(jī)，一旦堡壘主機(jī)被攻擊者成功控制，那么外網(wǎng)主機(jī)將可以直接訪問內(nèi)部網(wǎng)絡(luò)，防火墻的防護(hù)功能完全喪失。（四）屏蔽主機(jī)結(jié)構(gòu)屏蔽主機(jī)結(jié)構(gòu)（ScreenedHostArchitecture）是屏蔽路由器結(jié)構(gòu)和雙宿主機(jī)結(jié)構(gòu)的有機(jī)組合，利用具有包過濾功能的路由器將堡壘主機(jī)與外部互聯(lián)網(wǎng)（不信任域）相連。通常在包過濾路由器上配置過濾規(guī)則，限定外網(wǎng)主機(jī)只能直接訪問堡壘主機(jī)，無法直接訪問內(nèi)網(wǎng)其它主機(jī)。內(nèi)、外網(wǎng)之間的通信都經(jīng)由堡壘主機(jī)轉(zhuǎn)發(fā)。屏蔽主機(jī)結(jié)構(gòu)中，堡壘主機(jī)必須部署在包過濾防火墻之后，因?yàn)榘^濾路由器可以對(duì)堡壘主機(jī)和內(nèi)網(wǎng)的其他主機(jī)實(shí)施安全防護(hù)。如果兩者位置對(duì)調(diào)，堡壘主機(jī)直接與互聯(lián)網(wǎng)相連，包過濾路由器與內(nèi)部網(wǎng)絡(luò)相連，必須允許堡壘主機(jī)與內(nèi)網(wǎng)主機(jī)相互通信。一旦堡壘主機(jī)被攻擊者控制，攻擊者可以利用堡壘主機(jī)直接訪問內(nèi)部網(wǎng)絡(luò)，包過濾路由器也就無法發(fā)揮對(duì)內(nèi)網(wǎng)的防護(hù)作用，整個(gè)體系結(jié)構(gòu)等同于雙宿主機(jī)結(jié)構(gòu)。屏蔽主機(jī)結(jié)構(gòu)的優(yōu)點(diǎn)主要有兩方面。首先，無論內(nèi)部網(wǎng)絡(luò)如何變化都不會(huì)對(duì)包過濾路由器和堡壘主機(jī)的配置產(chǎn)生影響。其次，安全風(fēng)險(xiǎn)主要集中在包過濾路由器和堡壘主機(jī)，只要這兩個(gè)組件本身不存在漏洞并且配置完善，攻擊者很難對(duì)內(nèi)部網(wǎng)絡(luò)實(shí)施攻擊。屏蔽主機(jī)結(jié)構(gòu)也存在一些缺陷。首先，堡壘主機(jī)的安全性非常關(guān)鍵。其次，包過濾路由器也必須保證安全。一旦包過濾路由器被攻擊者掌控，攻擊者的攻擊數(shù)據(jù)包可以繞過堡壘主機(jī)威脅內(nèi)網(wǎng)安全。（五）屏蔽子網(wǎng)結(jié)構(gòu)屏蔽子網(wǎng)結(jié)構(gòu)（ScreenedSubnetArchitecture）在幾種防火墻體系結(jié)構(gòu)中具有最高的安全性。在安全域的劃分上，除了不信任的外網(wǎng)和信任的內(nèi)網(wǎng)外，屏蔽子網(wǎng)結(jié)構(gòu)增加了DMZ域。此外，該結(jié)構(gòu)用兩臺(tái)包過濾路由器將DMZ中的主機(jī)與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分割開來。內(nèi)網(wǎng)主機(jī)和外網(wǎng)主機(jī)均可以對(duì)被隔離的子網(wǎng)（DMZ）進(jìn)行訪問，但是禁止內(nèi)、外網(wǎng)主機(jī)穿越子網(wǎng)直接通信。在被隔離的子網(wǎng)中，除了包過濾路由器之外至少包含一臺(tái)堡壘主機(jī)（單宿或雙宿），該堡壘主機(jī)作為應(yīng)用網(wǎng)關(guān)防火墻，在內(nèi)外網(wǎng)之間轉(zhuǎn)發(fā)通信數(shù)據(jù)。DMZ區(qū)的堡壘主機(jī)是內(nèi)、外網(wǎng)通信的唯一通道。因此，通過對(duì)堡壘主機(jī)進(jìn)行配置，可以細(xì)粒度地設(shè)定內(nèi)外網(wǎng)之間允許哪些網(wǎng)絡(luò)通信。內(nèi)部包過濾路由器的防護(hù)功能主要體現(xiàn)在兩個(gè)方面。首先，內(nèi)部包過濾路由器可以使內(nèi)部網(wǎng)絡(luò)避免遭受源于外網(wǎng)和DMZ區(qū)的侵?jǐn)_。其次，以規(guī)則的形式限定內(nèi)網(wǎng)主機(jī)只能經(jīng)由DMZ區(qū)的堡壘主機(jī)訪問外部網(wǎng)絡(luò)。對(duì)于這種屏蔽子網(wǎng)結(jié)構(gòu)，黑客要侵入內(nèi)網(wǎng)，必須攻破外部包過濾路由器，設(shè)法侵入DMZ區(qū)的堡壘主機(jī)。由于內(nèi)網(wǎng)中主機(jī)之間的通信不經(jīng)過DMZ區(qū)，因此，即使黑客侵入堡壘主機(jī)，也無法獲取內(nèi)網(wǎng)主機(jī)間的敏感通信數(shù)據(jù)。黑客只有在控制內(nèi)部包過濾路由器后，才能進(jìn)入內(nèi)網(wǎng)實(shí)施破壞。屏蔽子網(wǎng)結(jié)構(gòu)增加了外網(wǎng)攻擊者實(shí)施攻擊的難度，安全性高。其主要缺點(diǎn)是管理和配置較為復(fù)雜，只有在兩臺(tái)包過濾路由器和一臺(tái)堡壘主機(jī)都配置完善的條件下，才能充分發(fā)揮安全防護(hù)作用。防火墻的部署方式防火墻有多種部署方式，常見的有透明模式、網(wǎng)關(guān)模式和NAT模式等。透明模式，也稱為“橋接模式”或“透明橋接模式”。當(dāng)防火墻處于“透明”模式時(shí)，防火墻只過濾通過的數(shù)據(jù)包，但不會(huì)修改數(shù)據(jù)包包頭中的任何信息，其作用更像是處于同一VLAN的2層交換機(jī)或者橋接器，防火墻對(duì)于用戶來說是透明的。透明模式的優(yōu)點(diǎn)包括無需改變?cè)芯W(wǎng)絡(luò)規(guī)劃和配置；當(dāng)對(duì)網(wǎng)絡(luò)進(jìn)行擴(kuò)容時(shí)也無需重新規(guī)劃網(wǎng)絡(luò)地址，不足之處在于靈活性不足，也無法實(shí)現(xiàn)更多的功能，如路由、網(wǎng)絡(luò)地址轉(zhuǎn)換等。網(wǎng)關(guān)模式，也稱為“路由模式”。當(dāng)防火墻工作在“網(wǎng)關(guān)”模式時(shí)，其所有網(wǎng)絡(luò)接口都處于不同的子網(wǎng)中。防火墻不僅要過濾通過的數(shù)據(jù)包，還需要根據(jù)數(shù)據(jù)包中的IP地址執(zhí)行路由功能。防火墻在不同安全區(qū)間轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)，一般不會(huì)改變IP數(shù)據(jù)包包頭中的源地址和端口號(hào)。網(wǎng)關(guān)模式適用于內(nèi)外網(wǎng)不在同一網(wǎng)段的情況，防火墻一般部署在內(nèi)網(wǎng)，設(shè)置網(wǎng)關(guān)地址實(shí)現(xiàn)路由器的功能，為不同網(wǎng)段進(jìn)行路由轉(zhuǎn)發(fā)。網(wǎng)關(guān)模式相比透明模式具備更高的安全性，在進(jìn)行訪問控制的同時(shí)實(shí)現(xiàn)了安全隔離，對(duì)內(nèi)網(wǎng)提供了一定的機(jī)密性保護(hù)。NAT模式下，防火墻不僅要對(duì)通過的數(shù)據(jù)包進(jìn)行安全檢查，還需執(zhí)行網(wǎng)絡(luò)地址轉(zhuǎn)換功能：對(duì)內(nèi)部網(wǎng)絡(luò)的IP地址進(jìn)行地址翻譯，使用防火墻的IP地址替換內(nèi)部網(wǎng)絡(luò)的源地址向外部網(wǎng)絡(luò)發(fā)送數(shù)據(jù)；當(dāng)外部網(wǎng)絡(luò)的響應(yīng)數(shù)據(jù)流量返回到防火墻后，防火墻再將目的地址替換為內(nèi)部網(wǎng)絡(luò)的源地址。NAT模式使用地址轉(zhuǎn)換功能可確保外部網(wǎng)絡(luò)不能直接看到內(nèi)部網(wǎng)絡(luò)的IP地址，進(jìn)一步增強(qiáng)了對(duì)內(nèi)部網(wǎng)絡(luò)的安全防護(hù)。同時(shí)，在NAT模式的網(wǎng)絡(luò)中，內(nèi)部網(wǎng)絡(luò)可以使用私有地址，進(jìn)而解決IP地址數(shù)量不足的問題。NAT模式可以適用于所有網(wǎng)絡(luò)環(huán)境，為被保護(hù)網(wǎng)絡(luò)提供的安全保障能力也最強(qiáng)。實(shí)際應(yīng)用中，一個(gè)網(wǎng)絡(luò)常常同時(shí)采用多種模式部署防火墻。防火墻的評(píng)價(jià)標(biāo)準(zhǔn)防火墻產(chǎn)品除了在處理器類型、內(nèi)存容量、網(wǎng)絡(luò)接口、存儲(chǔ)容量等硬件參數(shù)方面存在差異之外，還有一些重要的評(píng)價(jià)指標(biāo)常常用于衡量防火墻性能，是防火墻選購時(shí)的重要參考因素，主要包括并發(fā)連接數(shù)、吞吐量、時(shí)延、丟包率、背靠背緩沖、最大TCP連接建立速率等。1.并發(fā)連接數(shù)并發(fā)連接數(shù)（ConcurrentConnections）指的是內(nèi)網(wǎng)和外網(wǎng)之間穿越防火墻能夠同時(shí)建立的最大連接數(shù)量。這里的連接指的是網(wǎng)絡(luò)會(huì)話，泛指IP層及IP層以上的通信信息流。并發(fā)連接數(shù)用于衡量防火墻對(duì)業(yè)務(wù)信息流的處理能力，具體表現(xiàn)為防火墻設(shè)備對(duì)多個(gè)網(wǎng)絡(luò)連接的訪問控制能力和連接狀態(tài)跟蹤能力。首先，并發(fā)連接數(shù)取決于防火墻設(shè)備內(nèi)并發(fā)連接表的大小。所謂并發(fā)連接表，指的是防火墻用以保存并發(fā)連接信息的表結(jié)構(gòu)，位于防火墻的系統(tǒng)內(nèi)存。由于通過防火墻的連接要在并發(fā)連接表中保存相應(yīng)記錄，因此，防火墻能夠支持的最大并發(fā)連接數(shù)受限于并發(fā)連接表的大小。并發(fā)連接表也不是越大越好，并發(fā)連接表越大意味著占用更多的內(nèi)存資源。其次，并發(fā)連接數(shù)的增長(zhǎng)需要充分考慮防火墻的CPU處理能力。防火墻CPU肩負(fù)著把一個(gè)網(wǎng)段的數(shù)據(jù)包盡快轉(zhuǎn)發(fā)到另外一個(gè)網(wǎng)段的任務(wù)，在轉(zhuǎn)發(fā)過程中CPU需要遵從設(shè)定的訪問控制策略進(jìn)行許可判斷、流量統(tǒng)計(jì)以及審計(jì)記錄等操作。如果隨意提高防火墻的并發(fā)連接數(shù)，CPU的工作負(fù)荷將增大。如果CPU的處理能力跟不上并發(fā)連接數(shù)的增長(zhǎng)，數(shù)據(jù)包到達(dá)防火墻后排隊(duì)等待處理的時(shí)間將延長(zhǎng)，可能使一些數(shù)據(jù)包超時(shí)重傳。2.吞吐量按照IETFRFC1242中的描述，吞吐量（throughput）指的是在保證不丟失數(shù)據(jù)幀的情況下，防火墻設(shè)備能夠達(dá)到的最大數(shù)據(jù)幀轉(zhuǎn)發(fā)速率。防火墻的吞吐量通常以比特/秒或字節(jié)/秒表示。防火墻設(shè)備有固定的吞吐量測(cè)試流程。以一定的速率向待測(cè)的防火墻設(shè)備發(fā)送數(shù)據(jù)幀，如果發(fā)送給設(shè)備的數(shù)據(jù)幀與設(shè)備轉(zhuǎn)發(fā)出去的數(shù)據(jù)幀數(shù)量相同，則提高發(fā)送速率重新進(jìn)行測(cè)試；如果發(fā)送給設(shè)備的數(shù)據(jù)幀比設(shè)備轉(zhuǎn)發(fā)出去的數(shù)據(jù)幀數(shù)量多，則適當(dāng)降低發(fā)送速率重新測(cè)試。逐步調(diào)整數(shù)據(jù)幀的發(fā)送速率，直到得出最終結(jié)果。防火墻的吞吐量大小主要由防火墻網(wǎng)卡以及程序算法的效率決定。特別是程序算法，決定了防火墻如何判斷數(shù)據(jù)是否符合安全策略。如果程序算法設(shè)計(jì)不合理，時(shí)間復(fù)雜度過高，將浪費(fèi)大量計(jì)算資源，防火墻難以快速轉(zhuǎn)發(fā)數(shù)據(jù)幀。3.時(shí)延防火墻的時(shí)延指的是數(shù)據(jù)包的第一個(gè)比特進(jìn)入防火墻，到最后一個(gè)比特從防火墻輸出的時(shí)間間隔。在實(shí)際應(yīng)用中，時(shí)延主要源于防火墻對(duì)數(shù)據(jù)包進(jìn)行排隊(duì)、檢測(cè)、日志、轉(zhuǎn)發(fā)等動(dòng)作所需的處理時(shí)間。防火墻的時(shí)延體現(xiàn)了防火墻的處理速度，時(shí)延短通常說明防火墻處理數(shù)據(jù)的速度快。防火墻時(shí)延測(cè)試的基本方法是計(jì)算數(shù)據(jù)包從防火墻的一個(gè)端口進(jìn)入到其從相應(yīng)端口輸出的時(shí)間。防火墻時(shí)延測(cè)試必須在防火墻的吞吐量范圍之內(nèi)進(jìn)行，如果發(fā)送速率超過了防火墻的吞吐量，防火墻出現(xiàn)大量丟包，表現(xiàn)很不穩(wěn)定，測(cè)試結(jié)果將失去意義。4.丟包率按照IETFRFC1242中的定義，防火墻的丟包率（PacketLossRate）指在網(wǎng)絡(luò)狀態(tài)穩(wěn)定的情況下，應(yīng)當(dāng)被轉(zhuǎn)發(fā)但由于防火墻設(shè)備缺少資源而沒有轉(zhuǎn)發(fā)、被防火墻丟棄的數(shù)據(jù)包在全部發(fā)送數(shù)據(jù)包中所占的比率。丟包率體現(xiàn)了防火墻的穩(wěn)定性和可靠性。5.背靠背緩沖背靠背緩沖是指防火墻接收到以最小數(shù)據(jù)幀間隔傳輸?shù)臄?shù)據(jù)幀時(shí)，在不丟棄數(shù)據(jù)的情況下，能夠處理的最大數(shù)據(jù)幀數(shù)目。防火墻的這項(xiàng)參數(shù)體現(xiàn)了防火墻的緩沖容量。如果防火墻的處理能力相當(dāng)高，那么背靠背緩沖的作用相對(duì)較小。因?yàn)楫?dāng)數(shù)據(jù)發(fā)送速度過快而防火墻來不及處理時(shí)，數(shù)據(jù)才需要進(jìn)行緩存。如果防火墻本身具有很強(qiáng)的處理能力，能夠迅速處理并轉(zhuǎn)發(fā)數(shù)據(jù)包，防火墻甚至可以不需要進(jìn)行數(shù)據(jù)緩沖。6.最大TCP連接建立速率防火墻的最大TCP連接建立速率指的是在所有TCP連接成功建立的前提下，防火墻能夠達(dá)到的最大連接建立速率。這項(xiàng)指標(biāo)由防火墻CPU的資源調(diào)度能力決定，體現(xiàn)了防火墻對(duì)連接請(qǐng)求的實(shí)時(shí)處理能力，最大TCP連接建立速率越大，防火墻性能越好，能夠快速處理連接請(qǐng)求，并能夠快速轉(zhuǎn)發(fā)數(shù)據(jù)。7.應(yīng)用識(shí)別及分析能力對(duì)應(yīng)用網(wǎng)關(guān)防火墻而言，關(guān)鍵的性能指標(biāo)不再是網(wǎng)絡(luò)層吞吐量，而是應(yīng)用識(shí)別及分析，主要體現(xiàn)在防火墻能夠劫持網(wǎng)絡(luò)應(yīng)用的數(shù)量，應(yīng)用識(shí)別和控制的粒度，以及應(yīng)用特征庫的更新速度。8.其他指標(biāo)在防火墻的選擇過程中，還需要考慮其他一些因素，主要包括：1)防火墻產(chǎn)品的功能。防火墻是采用無狀態(tài)的包過濾技術(shù)，還是有狀態(tài)的包過濾技術(shù)，或者是采用應(yīng)用網(wǎng)關(guān)技術(shù)。防火墻的日志和報(bào)警功能是否齊備。2)防火墻產(chǎn)品的可管理性。防火墻的用戶界面是否友好，防火墻功能配置和管理是否操作簡(jiǎn)單，這些都是選擇防火墻時(shí)需要考慮的要素。同時(shí)，隨著下一代防火墻提供的功能越來越多，可視化管理非常重要。3)防火墻產(chǎn)品本身的安全性能。防火墻要保護(hù)內(nèi)部網(wǎng)絡(luò)的安全，必須首先確保自身的安全性。選擇防火墻要考慮防火墻采用的操作系統(tǒng)平臺(tái)的安全性、防火墻的抗攻擊能力、防火墻的冗余設(shè)置等等指標(biāo)。防火墻技術(shù)的不足與發(fā)展趨勢(shì)（一）防火墻的局限防火墻技術(shù)并不能解決所有網(wǎng)絡(luò)安全問題，它在安全防護(hù)方面的局限主要表現(xiàn)為以下幾點(diǎn)。1）防火墻的防護(hù)并不全面。一方面，攻擊者可以采用偽造數(shù)據(jù)包的方法，生成防火墻過濾規(guī)則允許的攻擊數(shù)據(jù)包，繞過防火墻的監(jiān)控。另一方面，防火墻產(chǎn)品本身可能存在漏洞。再者，防火墻位于被保護(hù)網(wǎng)絡(luò)的邊界位置，如果內(nèi)網(wǎng)中有用戶實(shí)施攻擊，防火墻無法察覺此類攻擊行為。2）防火墻所發(fā)揮的安全防護(hù)作用在很大程度上取決于防火墻的配置是否正確、完善。防火墻只是一個(gè)被動(dòng)的安全策略執(zhí)行設(shè)備。如果防火墻體系結(jié)構(gòu)不合理，或者安全規(guī)則與網(wǎng)絡(luò)安全策略不匹配，防火墻將無法發(fā)揮防護(hù)作用。3）一些利用系統(tǒng)漏洞或者網(wǎng)絡(luò)協(xié)議漏洞進(jìn)行的攻擊，防火墻難以防范，同時(shí)防火墻本身也可能存在安全漏洞。攻擊者漏洞挖掘的能力不斷提升，很多信息系統(tǒng)的廠商沒有投入足夠的精力提高產(chǎn)品的安全性，不少知名軟硬件產(chǎn)品都被發(fā)現(xiàn)存在安全漏洞。4）防火墻不能防止病毒、木馬等惡意代碼的網(wǎng)絡(luò)傳輸。防火墻本身不具備查殺病毒的功能，即使一些防火墻產(chǎn)品集成了第三方的防病毒軟件，因處理能力的限制以及性能上的考慮，防火墻對(duì)惡意代碼的查殺能力也非常有限。5）網(wǎng)絡(luò)寬帶化的進(jìn)程加速，防火墻的處理能力難以與之適應(yīng)。帶寬的增長(zhǎng)意味著防火墻需要檢查的網(wǎng)絡(luò)數(shù)據(jù)迅猛增加，防火墻的處理負(fù)擔(dān)加重。大部分防火墻以高強(qiáng)度的檢查作為安全防護(hù)的代價(jià)，檢查強(qiáng)度越高，計(jì)算開銷也就越大。防火墻的發(fā)展防火墻技術(shù)處于不斷發(fā)展當(dāng)中，防火墻產(chǎn)品目前主要朝著高性能、多功能、智能化、協(xié)作化、更安全的方向發(fā)展，一些新技術(shù)已應(yīng)用于前面介紹的下一代應(yīng)用網(wǎng)關(guān)防火墻中。1）高性能。高性能防火墻是未來的發(fā)展趨勢(shì)，特別