防火墙的发展趋势

From upnb游本网--笔记本电脑知识库（笔记本wiki)--您身边的电脑词典

防火墙的发展趋势:

• 1.优良的性能

新一代的防火墙系统不仅应该能够更好地保护防火墙后面内部网络的安全，而且应该具有更为优良的整体性能。传统的代理型防火墙虽然可以提供较高级别的安全保护，但是同时它也成为限制网络带宽的瓶颈，这极大地制约了在网络中的实际应用。数据通过率是表示防火墙性能的参数，由于不同防火墙的不同功能具有不同的工作量和系统资源要求，因此数据在通过防火墙时会产生延时。自然，数据通过率越高，防火墙性能越好。现在大多数的防火墙产品都支持NAT功能，它可以让防火墙受保护的一边的IP地址不至于暴露在没有保护的另一边，但是启用NAT后势必会对防火墙系统的性能有所影响。目前如何尽量减少这种影响也成为防火墙产品的卖点之一。另外防火墙系统中集成的VPN解决方案必须是真正的线速运行，否则将成为网络通信的瓶颈。

• 2.可扩展的结构和功能

对于一个好的防火墙系统而言，它的规模和功能应该能够适应内部网络的规模和安全策略的变化。选择哪种防火墙，除了应考虑它的基本性能之外，毫无疑问，还应考虑用户的实际需求与未来网络的升级。
未来的防火墙系统应是一个可随意伸缩的模块化解决方案，从最为基本的包过滤器到带加密功能的VPN型包过滤器，直至一个独立的应用网关，使用户有充分的余地构建自己所需要的防火墙体系。

• 3.简化的安装与管理

防火墙的确可以帮助管理员加强内部网的安全性。一个不具体实施任何安全策略的防火墙无异于高级摆设。防火墙产品配置和管理的难易程度是防火墙能否达到目的的主要考虑因素之一。实践证明许多防火墙产品并未起到预期作用的一个不容忽视的原因在于配置和实现上的错误。同时，若防火墙的管理过于困难，则可能会造成设定上的错误，反而不能达到其功能。因此未来的防火墙将具有非常易于进行配置的图形用户界面。NT防火墙市场的发展证明了这种趋势。Windows NT提供了一种易于安装和易于管理的基础。尽管基于NT的防火墙通常落后于基于Unix的防火墙，但NT平台的简单性以及它方便的可用性大大推动了基于NT的防火墙的销售。

• 4.主动过滤

防火墙开发商通过建立功能更强大的Web代理对这种需要做出了回应。例如，许多防火墙具有内置病毒和内容扫描功能或允许用户与病毒与内容扫描程序进行集成。今天，许多防火墙都包括对过滤产品的支持，并可以与第三方过滤服务连接，这些服务提供了不受欢迎Internet站点的分类清单。防火墙还在它们的Web代理中包括时间限制功能，允许非工作时间的冲浪和登录，并提供冲浪活动的报告。

• 5. 防病毒与防黑客

尽管防火墙在防止不良分子进入上发挥了很好的作用，但TCP／IP 协议套件中存在的脆弱性使Internet对拒绝服务攻击敞开了大门。在拒绝服务攻击中，攻击者试图使企业Internet服务饱和或使与它连接的系统崩溃，使Internet无法供企业使用。防火墙市场已经对此做出了反应。 虽然没有防火墙可以防止所有的拒绝服务攻击，但防火墙厂商一直在尽其可能阻止拒绝服务攻击。像序列号预测和IP欺骗这类简单攻击，这些年来已经成为了防火墙工具箱的一部分。像SYN 泛滥这类更复杂的拒绝服务攻击需要厂商部署更先进的检测和避免方案来对付。SYN泛滥可以锁死Web和邮件服务，这样没有数据流可以进入。