1.1 包過濾技術(shù)
　　包過濾防火墻工作在網(wǎng)絡(luò)層，對數(shù)據(jù)包的源及目地 IP 具有識別和控制作用，對于傳輸層，也只能識別數(shù)據(jù)包是 TCP 還是 UDP 及所用的端口信息，如下圖所示。現(xiàn)在的路由器、 Switch Router 以及某些操作系統(tǒng)已經(jīng)具有用 Packet Filter 控制的能力。
　　由于只對數(shù)據(jù)包的 IP 地址、 TCP/UDP 協(xié)議和端口進行分析，包過濾防火墻的處理速度較快，并且易于配置。

　　包過濾防火墻具有根本的缺陷：
　　1 ．不能防范黑客攻擊。包過濾防火墻的工作基于一個前提，就是網(wǎng)管知道哪些 IP 是可信網(wǎng)絡(luò)，哪些是不可信網(wǎng)絡(luò)的 IP 地址。但是隨著遠程辦公等新應(yīng)用的出現(xiàn)，網(wǎng)管不可能區(qū)分出可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)的界限，對于黑客來說，只需將源 IP 包改成合法 IP 即可輕松通過包過濾防火墻，進入內(nèi)網(wǎng)，而任何一個初級水平的黑客都能進行 IP 地址欺騙。
　　2 ．不支持應(yīng)用層協(xié)議。假如內(nèi)網(wǎng)用戶提出這樣一個需求，只允許內(nèi)網(wǎng)員工訪問外網(wǎng)的網(wǎng)頁（使用 HTTP 協(xié)議），不允許去外網(wǎng)下載電影（一般使用 FTP 協(xié)議）。包過濾防火墻無能為力，因為它不認識數(shù)據(jù)包中的應(yīng)用層協(xié)議，訪問控制粒度太粗糙。
　　3 ．不能處理新的安全威脅。它不能跟蹤 TCP 狀態(tài)，所以對 TCP 層的控制有漏洞。如當它配置了僅允許從內(nèi)到外的 TCP 訪問時，一些以 TCP 應(yīng)答包的形式從外部對內(nèi)網(wǎng)進行的攻擊仍可以穿透防火墻。
　　綜上可見，包過濾防火墻技術(shù)面太過初級，就好比一位保安只能根據(jù)訪客來自哪個省市來判斷是否允許他（她）進入一樣，難以履行保護內(nèi)網(wǎng)安全的職責。

　　1.2 應(yīng)用代理網(wǎng)關(guān)技術(shù)
　　應(yīng)用代理網(wǎng)關(guān)防火墻徹底隔斷內(nèi)網(wǎng)與外網(wǎng)的直接通信，內(nèi)網(wǎng)用戶對外網(wǎng)的訪問變成防火墻對外網(wǎng)的訪問，然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶。所有通信都必須經(jīng)應(yīng)用層代理軟件轉(zhuǎn)發(fā)，訪問者任何時候都不能與服務(wù)器建立直接的 TCP 連接，應(yīng)用層的協(xié)議會話過程必須符合代理的安全策略要求。
　　應(yīng)用代理網(wǎng)關(guān)的優(yōu)點是可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，對數(shù)據(jù)包的檢測能力比較強。
　　
　　缺點也非常突出，主要有：
　　· 難于配置。由于每個應(yīng)用都要求單獨的代理進程，這就要求網(wǎng)管能理解每項應(yīng)用協(xié)議的弱點，并能合理的配置安全策略，由于配置繁瑣，難于理解，容易出現(xiàn)配置失誤，最終影響內(nèi)網(wǎng)的安全防范能力。
　　· 處理速度非常慢。斷掉所有的連接，由防火墻重新建立連接，理論上可以使應(yīng)用代理防火墻具有極高的安全性。但是實際應(yīng)用中并不可行，因為對于內(nèi)網(wǎng)的每個 Web 訪問請求，應(yīng)用代理都需要開一個單獨的代理進程，它要保護內(nèi)網(wǎng)的 Web 服務(wù)器、數(shù)據(jù)庫服務(wù)器、文件服務(wù)器、郵件服務(wù)器，及業(yè)務(wù)程序等，就需要建立一個個的服務(wù)代理，以處理客戶端的訪問請求。這樣，應(yīng)用代理的處理延遲會很大，內(nèi)網(wǎng)用戶的正常 Web 訪問不能及時得到響應(yīng)。
　　總之，應(yīng)用代理防火墻不能支持大規(guī)模的并發(fā)連接，在對速度敏感的行業(yè)使用這類防火墻時簡直是災(zāi)難。另外，防火墻核心要求預(yù)先內(nèi)置一些已知應(yīng)用程序的代理，使得一些新出現(xiàn)的應(yīng)用在代理防火墻內(nèi)被無情地阻斷，不能很好地支持新應(yīng)用。
　　在 IT 領(lǐng)域中，新應(yīng)用、新技術(shù)、新協(xié)議層出不窮，代理防火墻很難適應(yīng)這種局面。因此，在一些重要的領(lǐng)域和行業(yè)的核心業(yè)務(wù)應(yīng)用中，代理防火墻正被逐漸疏遠。
　　但是，自適應(yīng)代理技術(shù)的出現(xiàn)讓應(yīng)用代理防火墻技術(shù)出現(xiàn)了新的轉(zhuǎn)機，它結(jié)合了代理防火墻的安全性和包過濾防火墻的高速度等優(yōu)點，在不損失安全性的基礎(chǔ)上將代理防火墻的性能提高了 10 倍。

　　1.3 狀態(tài)檢測技術(shù)
　　我們知道， Internet 上傳輸?shù)臄?shù)據(jù)都必須遵循 TCP/IP 協(xié)議，根據(jù) TCP 協(xié)議，每個可靠連接的建立需要經(jīng)過 “ 客戶端同步請求 ” 、 “ 服務(wù)器應(yīng)答 ” 、 “ 客戶端再應(yīng)答 ” 三個階段，我們最常用到的 Web 瀏覽、文件下載、收發(fā)郵件等都要經(jīng)過這三個階段。這反映出數(shù)據(jù)包并不是獨立的，而是前后之間有著密切的狀態(tài)聯(lián)系，基于這種狀態(tài)變化，引出了狀態(tài)檢測技術(shù)。
　　狀態(tài)檢測防火墻摒棄了包過濾防火墻僅考查數(shù)據(jù)包的 IP 地址等幾個參數(shù)，而不關(guān)心數(shù)據(jù)包連接狀態(tài)變化的缺點，在防火墻的核心部分建立狀態(tài)連接表，并將進出網(wǎng)絡(luò)的數(shù)據(jù)當成一個個的會話，利用狀態(tài)表跟蹤每一個會話狀態(tài)。狀態(tài)監(jiān)測對每一個包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)，因此提供了完整的對傳輸層的控制能力。
　　網(wǎng)關(guān)防火墻的一個挑戰(zhàn)就是能處理的流量，狀態(tài)檢測技術(shù)在大為提高安全防范能力的同時也改進了流量處理速度。狀態(tài)監(jiān)測技術(shù)采用了一系列優(yōu)化技術(shù)，使防火墻性能大幅度提升，能應(yīng)用在各類網(wǎng)絡(luò)環(huán)境中，尤其是在一些規(guī)則復(fù)雜的大型網(wǎng)絡(luò)上。
　　任何一款高性能的防火墻，都會采用狀態(tài)檢測技術(shù)。
　　從 2000 年開始，國內(nèi)的著名防火墻公司，如北京天融信等公司，都開始采用這一最新的體系架構(gòu)，并在此基礎(chǔ)上，天融信 NGFW4000 創(chuàng)新推出了核檢測技術(shù)，在操作系統(tǒng)內(nèi)核模擬出典型的應(yīng)用層協(xié)議，在內(nèi)核實現(xiàn)對應(yīng)用層協(xié)議的過濾，在實現(xiàn)安全目標的同時可以得到極高的性能。目前支持的協(xié)議有 HTTP/1.0/1.1 、 FTP 、 SMTP 、 POP3 、 MMS 、 H.232 等最新和最常用的應(yīng)用協(xié)議。

　　二、防火墻發(fā)展的新技術(shù)趨勢

　　2.1 新需求引發(fā)的技術(shù)走向
　　防火墻技術(shù)的發(fā)展離不開社會需求的變化，著眼未來，我們注意到以下幾個新的需求。
　　· 遠程辦公的增長。這次全國主要城市先后受到 SARS 病毒的侵襲，直接促成大量的企事業(yè)在家辦公，這就要求防火墻既能抵抗外部攻擊，又能允許合法的遠程訪問，做到更細粒度的訪問控制。現(xiàn)在一些廠商推出的 VPN （虛擬專用網(wǎng)）技術(shù)就是很好的解決方式。只有以指定方式加密的數(shù)據(jù)包才能通過防火墻，這樣可以確保信息的保密性，又能成為識別入侵行為的手段。
　　· 內(nèi)部網(wǎng)絡(luò) “ 包廂化 ” （ compartmentalizing ）。人們通常認為處在防火墻保護下的內(nèi)網(wǎng)是可信的，只有 Internet 是不可信的。由于黑客攻擊技術(shù)和工具在 Internet 上隨手可及，使得內(nèi)部網(wǎng)絡(luò)的潛在威脅大大增加，這種威脅既可以是外網(wǎng)的人員，也可能是內(nèi)網(wǎng)用戶，不再存在一個可信網(wǎng)絡(luò)環(huán)境。
　　由于無線網(wǎng)絡(luò)的快速應(yīng)用以及傳統(tǒng)撥號方式的繼續(xù)存在，內(nèi)網(wǎng)受到了前所未有的威脅。企業(yè)之前的合作將合作伙伴納入了企業(yè)網(wǎng)絡(luò)里，全國各地的分支機構(gòu)共享一個論壇，都使可信網(wǎng)絡(luò)的概念變得模糊起來。應(yīng)對的辦法就是將內(nèi)部網(wǎng)細分成一間間的 “ 包廂 ” ，對每個 “ 包廂 ” 實施獨立的安全策略。

　　2.2 黑客攻擊引發(fā)的技術(shù)走向
　　防火墻作為內(nèi)網(wǎng)的貼身保鏢，黑客攻擊的特點也決定了防火墻的技術(shù)走向。
 80 端口的關(guān)閉。從受攻擊的協(xié)議和端口來看，排在第一位的就是 HTTP 協(xié)議（ 80 端口）。

　　根據(jù) SANS 的調(diào)查顯示，提供 HTTP 服務(wù)的 IIS 和 Apache 是最易受到攻擊，這說明 80 端口所引發(fā)的威脅最多。
　　因此，無論是未來的防火墻技術(shù)還是現(xiàn)在應(yīng)用的防火墻產(chǎn)品，都應(yīng)盡可能將 80 端口關(guān)閉。
　　· 數(shù)據(jù)包的深度檢測。 IT 業(yè)界權(quán)威機構(gòu) Gartner 認為代理不是阻止未來黑客攻擊的關(guān)鍵，但是防火墻應(yīng)能分辨并阻止數(shù)據(jù)包的惡意行為，包檢測的技術(shù)方案需要增加簽名檢測 (signature inspection) 等新的功能，以查找已經(jīng)的攻擊，并分辨出哪些是正常的數(shù)據(jù)流，哪些是異常數(shù)據(jù)流。
　　· 協(xié)同性。從黑客攻擊事件分析，對外提供 Web 等應(yīng)用的服務(wù)器是防護的重點。單單依靠防火墻難以防范所有的攻擊行為，這就需要將防火墻技術(shù)、入侵檢測技術(shù)、病毒檢測技術(shù)有效協(xié)同，共同完成保護網(wǎng)絡(luò)安全的任務(wù)。早在 2000 年，北京天融信公司就已經(jīng)認識到了協(xié)同的必要性和緊迫性，推出了 TOPSEC 協(xié)議，與 IDS 等其他安全設(shè)備聯(lián)動，與其他安全設(shè)備配合組成一個有機的可擴展的安全體系平臺。目前主要支持和 IDS 的聯(lián)動和認證服務(wù)器進行聯(lián)動。如支持國內(nèi)十幾家知名的 IDS 、安全管理系統(tǒng)、安全審計、其他認證系統(tǒng)等等組成完整的 TOPSEC 解決方案。 2002 年 9 月，北電、思科和 Check Point 一道宣布共同推出安全產(chǎn)品，也體現(xiàn)了廠商之間優(yōu)勢互補、互通有無的趨勢。