克服“管就死，放就乱”的智能防火墙

核心提示：最新智能防火墙简介和技术特征 防火墙已经被用户普遍接受，而且正在成为一种主要的网络安全设备，克服“管就死，放就乱”的智能防火墙，防火墙圈定一个保护的范围，并假定防火墙是唯一的出口，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，然后防火墙来决定是放行还是封 锁进

最新智能防火墙简介和技术特征

防火墙已经被用户普遍接受，而且正在成为一种主要的网络安全设备。防火墙圈定一个保护的范围，并假定防火墙是唯一的出口，然后防火墙来决定是放行还是封 锁进出的包。传统的防火墙有一个重大的理论假设—如果防火墙拒绝某些数据包的通过，则一定是安全的，因为这些包已经被丢弃。但实际上防火墙并不保证准许通过的数据包是安全的，防火墙无法判断一个正常的数据包和一个恶意的数据包有什么不同，而是要求管理员来保证该包是安全的。管理员必须告诉防火墙准许通过什么，防火墙则依据设置的规则来准许该包通过，这样管理员就必须承担策略错误的安全责任。然而，传统防火墙的这种假设对网络安全是不恰当的，安全效果也不好。把安全责任交给安全管理员，实际上就没有解决安全问题。新一代的防火墙应该加强放行数据的安全性，因为网络安全的真实需求是既要保证安全，也必须保证应用的正常进行。

本文介绍的智能防火墙是一种更聪明、更智能的防火墙产品，它克服了传统防火墙“一管就死，一放就乱”的状况，修正了上述防火墙的重大假设。新的智能防火墙把“出口”的概念改变为“关口”的概念，所有经过“关口”的数据包都必须接受防火墙的检查。与传统防火墙采用的数据匹配检查的技术不同，新的智能防火墙采用人工智能识别技术来决定访问控制。智能防火墙比传统的防火墙更安全，效率更高。

传统防火墙面临应用难题

目前的防火墙无论从技术上还是产品发展历程上，都经历了五个发展阶段。第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙—应用层防火墙（代理防火墙）的初步结构。1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技术。1994年，以色列CheckPoint公司开发出了第一个采用这种技术的商业化的产品。1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。