智能防火墙技术的关键技术和功能应用

核心提示： 前五代防火墙技术有一个共同的特点，就是采用逐一匹配方法，智能防火墙技术的关键技术和功能应用(2)，计算量太大，包过滤是对IP包进行匹配检查，但用户调查表明，超过80％的用户，状态检测包过滤除了对包进行匹配检查外还要对状态信息进行匹配检查，应用代理对应用协议和应用数据进行匹配检查

前五代防火墙技术有一个共同的特点，就是采用逐一匹配方法，计算量太大。包过滤是对IP包进行匹配检查，状态检测包过滤除了对包进行匹配检查外还要对状态信息进行匹配检查，应用代理对应用协议和应用数据进行匹配检查。因此，它们都有一个共同的缺陷，安全性越高，检查的越多，效率越低。用一个定律来描述，就是防火墙的安全性与效率成反比。

二、传统防火墙遗留的主要安全问题

没有人怀疑防火墙在所有的安全设备采购中占据第一的位置。但传统的防火墙并没有解决网络主要的安全问题。目前网络安全的三大主要问题是，以拒绝访问（DDOS）为主要目的网络攻击，以蠕虫（Worm）为主要代表的病毒传播，和以垃圾电子邮件（SPAM）为代表的内容控制。这三大安全问题占据网络安全问题九成以上。而这三大问题，非智能防火墙都无能为力。

根据2003年美国联邦调查局（FBI）和计算机犯罪调查机构（CSI）联合发布的报告，超过50%的被调查者承认遭受拒绝访问攻击，80%的被调查者遭受病毒的攻击。垃圾电子邮件更猖狂，IDC估计到2006年，全球每天发送的垃圾信息将超过200亿条。

传统的防火墙能解决上述三大问题吗？答案是否定的。原因有三，一是传统防火墙的计算能力的限制。传统的防火墙是以高强度的检查为代价，检查的强度越高，计算的代价越大。二是传统防火墙的访问控制机制是一个简单的过滤机制。它是一个简单的条件过滤器，不具有智能功能，无法解决复杂的攻击。三是传统的防火墙无法区分识别善意和恶意的行为。该特征决定了传统的防火墙无法解决恶意的攻击行为。

传统的防火墙厂商主张，这三大问题不应该由防火墙来解决。但用户调查表明，超过80％的用户，主张防火墙帮助他们解决上述三大问题。