防火墙的发展历程.doc

防火墙的发展历程防火墙的发展历程路由器在每个网络中起到关键的作用，如果一路由器被破坏或者一路由被成功的欺骗， 网络的完整性将受到严重的破坏，如果使用路由的主机没有使用加密通信那就更为严重,因为这样的主机被控制的话，将存在着中间人(man-in-the-middle)攻击，拒绝服务攻击,数据丢失，网络整体性破坏，和信息被嗅探等攻击防火墙是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理从总体上看，防火墙应具有以下五大基本功能：●过滤进、出网络的数据；●管理进、出网络的访问行为；●封堵某些禁止的业务；●记录通过防火墙的信息内容和活动；●对网络攻击进行检测和报警为实现以上功能，在防火墙产品的开发中，人们广泛应用网络拓扑技术、计算机操作系统技术、路由技术、加密技术、访问控制技术、安全审计技术等综观防火墙产品近年内的发展，可将其分为四个阶段一.第一代防火墙：基于路由器的防火墙由于多数路由器中本身就包含有分组过滤功能，故网络访问控制可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品1）特点①利用路由器本身对分组的解析，以访问控制表方式实现对分组的过滤。

②过滤判决的依据可以是：地址、端口号、IP 旗标及其他网络特征③只有分组过滤功能，且防火墙与路由器是一体的，对安全要求低的网络采用路由器附带防火墙功能的方法，对安全性要求高的网络则可单独利用一台路由器作为防火墙2）不足①本身具有安全漏洞，外部网络要探寻内部网络十分容易例如：在使用 FTP 协议时，外部服务器容易从 20 号端口上与内部网相连，即使在路由器上设置了过滤规则，内部网络的 20 端口仍可由外部探寻②分组过滤规则的设置和配置存在安全隐患对路由器中过滤规则的设置和配置十分复杂，它涉及到规则的逻辑一致性、作用端口的有效性和规则集的正确性，一般的网络系统管理员难于胜任，加之一旦出现新的协议，管理员就得加上更多的规则去限制，这往往会带来很多错误③攻击者可“假冒”地址，黑客可以在网络上伪造假的路由信息欺骗防火墙④由于路由器的主要功能是为网络访问提供动态的、灵活的路由，而防火墙则要对访问行为实施静态的、固定的控制，这是一对难以调和的矛盾，防火墙的规则设置会大大降低路由器的性能基于路由器的防火墙只是网络安全的一种应急措施，用这种权宜之计去对付黑客的攻击是十分危险的二.第二代防火墙：用户化的防火墙（1）特征①将过滤功能从路由器中独立出来，并加上审计和告警功能。

②针对用户需求，提供模块化的软件包③软件可通过网络发送，用户可自己动手构造防火墙④与第一代防火墙相比，安全性提高而价格降低了由于是纯软件产品，第二代防火墙产品无论在实现还是在维护上都对系统管理员提出了相当复杂的要求2）问题①配置和维护过程复杂、费时②对用户的技术要求高③全软件实现、安全性和处理速度均有局限④实践表明，使用中出现差错的情况很多三.第三代防火墙：建立在通用操作系统上的防火墙基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品，近年来在市场上广泛使用的就是这一代产品1）特点①是批量上市的专用防火墙产品②包括分组过滤或借用了路由器的分组过滤功能③装有专用的代理系统，监控所有协议的数据和指令④保护用户编程空间和用户可配置内核参数的设置⑤安全性和速度大为提高第三代防火墙有以纯软件实现的，也有以硬件方式实现的但随着安全需求的变化和使用时间的推延，仍表现出不少问题2）隐患①作为基础的操作系统，其内核往往不为防火墙管理者所知，由于原码的保密，其安全性无从保证②大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的安全性负责。

上述问题在基于 WindowsNT 开发的防火墙产品中表现得十分明显四.第四代防火墙：具有安全操作系统的防火墙这是目前防火墙产品的主要发展趋势具有安全操作系统的防火墙本身就是一个操作系统，因而在安全性上较第三代防火墙有质的提高获得安全操作系统的办法有两种：一种是通过许可证方式获得操作系统的源码；另一种是通过固化操作系统内核来提高可靠性1）特点①防火墙厂商具有操作系统的源代码，并可实现安全内核②对安全内核实现加固处理：即去掉不必要的系统特性，加上内核特性，强化安全保护③对每个服务器、子系统都作了安全处理，一旦黑客攻破了一个服务器，它将会被隔离在此服务器内，不会对网络的其他部分构成威胁④在功能上包括了分组过滤、应用网关、电路级网关，且具有加密与鉴别功能⑤透明性好，易于使用上述阶段的划分主要以产品为对象，目的在于对防火墙的发展有一个总体勾画。