防火墙技术发展简介

从技术发展角度看，到目前为止，防火墙大致经历了4代变革。

首先出现在市场上的是包过滤防火墙，这类产品可以根据ip数据包的五元组（源地址、目的地址、源端口、目的端口、协议类型）做访问控制，代表性的产品是具备acl能力的路由器。因为处理逻辑比较简单，包过滤防火墙可以做到相对较高的性能。

包过滤防火墙的缺点是处理不够智能，不能很好地适应网络应用发展的需要，所以逐步被使用状态检测技术（stateful packet inspextion,spi）的防火墙所取代。状态检测机制在基于五元组执行包过滤的基础上引入了会话的概念，维护一个全局的连接状态表，使访问控制功能更加完善、易用。即便在今天，它仍然是绝大多数防火墙或utm产品中最基础的处理模块，其地位不可动摇。

应用代理防火墙则采用了与状态检测完全不同的处理机制，改由透明代理中断连接、重组数据。虽然这种技术可以做到非常细粒度的访问控制，但仅支持有限的应用协议，只适用于非常特殊的应用场景。并且该机制注定了相对较低的执行效率，不易于性能的提升（用过isa的朋友可以仔细体会）。也许是时间比较久远，我们并不记得曾经测试过这类硬件产品，只是在一些使用状态检测机制的防火墙上看到它以功能模块的形式出现。如果您在正在使用的防火墙上看到了针对http、ftp、smtp等常见协议的指令级或字符串级的过滤功能，不妨尝试开启一下，看看是不是会对性能造成很大影响。截至目前为止，可能只有国标中所定义的安全审计产品仍然在使用应用代理机制。

而深度包检测技术（deep packet inspection，dpi）则可以看做是性能与功能平衡的产物，它在状态检测技术的基础上，尝试对数据流中更多的内容进行检测，以在资源消耗较少的情况下提供部分应用代理级别的安全性。正如名称中强调的那样，大部分采用深度包检测的设备依然不会去做太多的重组工作，仅依靠特征比对的方式执行更复杂的访问控制策略。ids与ips就是使用这种技术的标志性产品，它们表现出来的性能虽然比起使用状态检测机制的传统防火墙还有一定的差距，却远高于使用应用代理机制的产品。近年来，dpi在不断改进中又衍生出深度流检测技术（deep flow inspection，dfi），以更好地实现各类安全特性。

ngfw产品选购指南

用户在选购ngfw产品时肯定会感到更多的困惑。一方面，utm和ngfw短期内不存在取代关系，经过包装推广的产品在形态上会越来越相似。另一方面，ngfw必然还会加入更多的安全特性，从著名信息安全培训机构sans的专家结合现有产品和用户需求给出的未来ngfw产品将需集成的功能列表来看，目前市场上所有主流安全技术都被涵盖在内。乱花渐欲迷人眼，用户（尤其是中小企业用户）难免会像几年前刚接触utm那样，产生一种不理智的选购心态。

所以，用户在选型前必须先明确自己的需求是什么，再利用ngfw体系结构上的集成化优势对未来部署做出合理性的规划，否则必将带来过犹不及的负面效果。途牛旅游网的资深网络工程师吴康就谈到这样的体会:该公司在明确自身安全需求后，选择了ngfw产品取代utm搭配上网行为管理的方案，保护包括订单系统在内的在线oa平台。经过长达半年的细致测试，途牛旅游网的it团队在用户身份关联的基础上逐步实现了策略的统一配置，成功地在满足需求的同时大幅提升了管理效率。

由此可见，充分的测试也是必不可少的环节，鉴于大部分用户都会同时启用ngfw产品提供的多种功能，我们建议无论是否进行实验室级别的测试，都要做至少3个月以上的、结合自身业务需求的上线测试，尽可能地与原有信息系统磨合，排除潜在隐患。

百舸争流ngfw

业界对下一代防火墙（ngfw）的产品形态和市场前景都趋于认同。面对越来越多的选择，用户对ngfw产品应理智地分析自身的安全需求，更多地结合测试评估工作进行选型。

■ 本报记者 韩勖 李智鹏

作为一类新的产品形态，下一代防火墙（以下简称ngfw）在市场上已然形成潮流。在被用户充分接受之前，这个产品市场能否顺利发展，很大程度上取决于业内的态度。所以，除了5家已经正式发售ngfw产品的厂商，本次我们还对另外14家信息安全厂商提出了采访邀请，希望了解整个行业对这一新产品形态的看法——这些厂商全部都有防火墙或/及utm产品在市场上销售，并且长期活跃于国内信息安全市场。经过长时间的沟通，我们最终收到了13份正式答复。业界巨擘思科成为惟一没有接受采访的厂商，让人深感遗憾。

此次采访围绕着ngfw的产品形态和市场前景两大主题进行。从13份答复中可以看出，绝大多数厂商都对gartner所定义的ngfw产品形态表示充分认同，虽然也有厂商表示个别细节值得商榷，但终归没有明确的反对意见出现。可以认为，gartner所定义的ngfw标准是对用户需求的高度抽象，是防火墙发展到一个历史阶段的自然产物。除了定义中明确要求必须具有的基础特性，各厂商基本是从自身所擅长的技术领域，以及目标客户需求的视角，来定义ngfw应具有的其他功能。例如:有独立组网能力的h3c与瞻博网络重点提到了超高性能、扩展性、虚拟化、抗ddos等特性，而传统意义上的信息安全厂商则更关注网关防病毒、内容管理、网络准入控制乃至报表与人机交互功能的集成实现。

对于ngfw产品在国内的市场前景，受访厂商也普遍表示看好。虽然不少厂商认为ngfw与utm现阶段存在竞争，但必将逐渐替代防火墙、ips、utm，成为阶段性的终结者。启明星辰还提到了上网行为管理产品，认为ngfw的发展会对这类产品的市场产生冲击。绿盟科技的观点则更加明确，认为ngfw短期内不会有独立市场，中期来看将从行业用户处开始普及，最终会成为综合网关市场的核心产品。而华为赛门铁克则认为，有中国特色的ngfw必将成为市场的宠儿。