图1
整合性
防火墙的规模和功能可以适应内部网络的规模和安全策略的变化。选择哪种防火墙,除了应考虑它基本性能外,毫无疑问,还应考虑用户的实际需求与未来网络的升级。未来的防火墙系统应是一个可随意伸缩的模块化解决方案,从最为基本的包过滤器到带加密功能的VPN型包过滤器,直至一个独立的应用网关,使用户有充分的余地构建自己所需要的防火墙体系。同时,防火墙还要尽可能地提供防毒和防黑的功能:在防火墙内具有内置病毒和内容扫描功能或允许用户将病毒与内容扫描程序,并可以与第三方过滤服务连接,获取这些服务所提供的不受欢迎的Internet站点的分类清单,并尽其可能阻止拒绝服务攻击。
未来的防火墙将是企业网络安全的一个基本平台,加入如同前文提到的VPN、内容过滤、加解密、防毒软件、入侵侦测,甚至包括负载平衡、HA(High Availability)、QoS(Quality of Service)等,组成一个整合的中央管理系统来控管整个企业网络的安全(如图2)。
图2
简便性
防火墙产品配置和管理的难易程度是防火墙能否达到目的的主要考虑因素之一。实际上,许多防火墙产品并未起到预期作用的一个不容忽视的原因在于配置和实现上的错误。同时,若防火墙的管理过于困难,则可能会造成设定上的错误,反而不能达到其功能。因此未来的防火墙将具有非常易于进行配置的图形用户界面,Windows NT防火墙市场的发展证明了这种趋势。Windows NT提供了一种易于安装和易于管理的基础。尽管基于Windows NT的防火墙通常落后于基于Unix的防火墙,但其简单性以及方便的可用性大大推动了基于Windows NT的防火墙的销售。 同时,像DNS 这类一直难于与防火墙恰当使用的关键应用程序正引起有意简化操作的厂商越来越多的关注。
结束语:尽管防火墙是在内部网与外部网之间实施安全防范的系统,还存在一定的局限性:
不能防范外部的刻意的人为攻击;
不能防范内部用户攻击;
不能防止内部用户因误操作而造成口令失密受到的攻击;
很难防止病毒或者受病毒感染的文件的传输。
所以绝对完美的防火墙只是后防火墙时代的一个最终幻想,作为网络安全政策和策略中的一个组成部分,它并不能解决网络安全中的所有问题。但了解防火墙技术并学会在实际操作中应用防火墙技术,能在很大程度上保证在你连上Internet的时候不受网络“黑客”的骚扰?从而能保证计算机系统的安全。