了解防火墙的“发胖”与“发威”

防火墙急速“长胖”为什么？

由于防火墙在网络中所处的重要位置，因此，人们对防火墙可以说是寄予厚望。现在防火墙正在不断增加各种各样的新功能，因此防火墙正在急剧“长胖”。

访问控制手段不断增加

防火墙现在正由最初的简单IP/PORT判定控制，发展到通信报文协议头的各部分，以及通信协议的应用层命令、用户规则、流量控制、代理控制、地址转换控制、连接数量控制和历史状态控制（状态检测）等。

访问控制功能不断增加

用户对防火墙新的访问控制功能不断提出新的要求，因为这些功能在防火墙均能实现，并且还较简单；另外在经济上，这意味着低成本，于是在防火墙上出现了很多网络互连的功能，如NAT、地址映射、带宽管理、计费功能。

VPN正在成为新的亮点

VPN可以为跨公网的内部通信提供安全平台，成为在互联网应用中的一大亮点。防火墙首当其冲承担了此功能，许多防火墙都可以实现此功能，并且将其作为一标准功能发布。

入侵检测成为用户理所当然的要求

很多用户将安全寄托在防火墙上，自然要求防火墙能够成功检测对内部网络构成威胁的各种

攻击行为并期望阻止进一步的攻击行为，如DoS/DDoS攻击等。

审计是一种重要的安全措施

审计管理可以监控通信行为和完善安全策略，对入侵者还是一种有效的威慑。强大、高效而方便的审计功能在防火墙的功能发展中可演绎的内容很多，形成了形形色色的审计接口和审计形态。

防火墙自身要不断发展，同时，还要适应已经处于运行状态的各种类型的不同使用方案、不同结构和不同配置的网络环境，这就使得防火墙越来越“胖”。

防火墙“胖”了好用吗？

防火墙已经在很多方面作了巨大的努力，在功能上丰富了很多，它正承载着用户们的众多期望向“大而全”成长。很多网络系统中也使用了防火墙，并进行了有效的管理，似乎防火墙正在成为网络安全的王中之王。可事实呢？

“五一”期间的中美黑客大战中，大批网站被入侵，主页被改得面目全非。作为盾牌，防火墙首当其冲。其实，之前很多用户本把希望寄托在防火墙上，但防火墙不堪重负，似乎有辱使命。在有防火墙保护情况下，分析这次被入侵的网站,从主要的日志记录及监控内容看，几乎都是利用了HTTP服务本身的漏洞或脆弱性，其中使用最多的是针对Windows NT/2000的Unicode漏洞攻击，防火墙所禁止的访问事实上并未发现任何突破。对于Unicode攻击，其实在防火墙上可以通过定义HTTP的URL过滤策略，让防火墙识别HTTP通信中的URL请求来加以控制。只不过需要在防火墙上定义很多规则。

从原理上说，抵御这些攻击在防火墙上的实现并不复杂，但在防火墙的管理上会增加大量的工作，管理者需要不断地升级识别库，识别库的维护更是需要大量的工作。

对于防火墙本身，面对越来越大的识别库，要求防火墙的性能逐渐增高，或者开始就预留较大的处理能力。但上述实现要求防火墙能在通常的包缓冲队列中就能发现攻击行为，而包缓冲队列不能太长，否则对用户而言，将表现为很长的延时，这种处理是不可行的。如病毒监测，不能在防火墙上缓存一个兆级的文件以便成功检查并处理病毒，如果真有病毒，使用者还可能谅解，但如果最终检查的结果为无病毒，用户必然不能接受。

要“发威”须以防火墙为核心构建安全体系！

显然，如果防火墙能和IDS、病毒检测等相关安全系统联合起来，充分发挥各自的长处，协同配合，就能共同建立一个有效的安全防范体系。简单地说，相关专业检测系统专责于某一类安全事件的检测，一旦发现安全事件，则立即通知防火墙；在防火墙上，要禁止某一通信行为，可以说是简单而准确的，因此，充分发挥各专业厂商的技术优势，形成有机的整体安全系统，这样的安全系统不但有效，而且还具备一定的自动智能。

以防火墙为核心形成开放的安全应用体系将形成一种防火墙系统的发展方向。防火墙在这一体系中充当主体角色，同时它也是一个服务中心，将得到其他安全产品的大力支持，真正成为名副其实的防火墙系统。