未来的防火墙什么样

　　 
　　目前防火墙在安全性、效率和功能方面的矛盾还是比较突出。防火墙的技术结构，往往是安全性高就会效率低，效率高就会以牺牲安全为代价。未来的防火墙要求是高安全性和高效率。重新设计防火墙的技术架构是未来防火墙的方向之一。这些可能存在的方向包括以下几点：

　　
　　在包过滤中引入鉴别授权机制
　　
　　防火墙的安全机理是可控性，主要的实现方式是访问控制。可控性就是能够控制信息的流向和使用者的行为方式。包过滤防火墙对包的流向方面有很好的控制办法，但对使用者的行为方式的控制是间接来完成的。它假设每一个IP地址对应一个假如使用静态IP地址的用户，或一组地址对应一组假如使用动态IP地址的用户。这个假设经常会失效，因为会出现使用别人的IP地址或伪造IP地址，因此会出现很多的安全漏洞和攻击。尽管可以使用IP地址和MAC地址绑定，但这不是从根本上来解决问题。对用户行为方式的控制的最有效的办法就是执行鉴别授权机制。
　　
　　复变包过滤技术
　　
　　复变包过滤技术，是指防火墙采用多级并行或串行或串并行混合的复杂结构方式，根据状态和条件确定下一级转发去向，在每一级都有一个子包过滤的复杂结构的防火墙。这种结构方式颇类似于滤波器的结构方式。如果说目前的防火墙是一个被动的规则检查的“傻瓜”防火墙的话，那么复变包过滤防火墙则是智能化的防火墙，因为复变包过滤技术具有根据安全需要确定下一级去向的功能，是一个策略根据条件不断变化的动态的智能防火墙。
　　
　　已经有一些类似的概念，例如入侵检测（IDS）与防火墙互动，目前已经有很多厂商包括Check Point提出的开放平台的概念等，都是一种简单的复变过滤技术，在不同产品之间简单实现一个或两个这样的特性，是一种努力，但存在很多问题。比如说，IDS和防火墙搭配，如果防火墙在IDS给出反馈之前，没有防住，IDS系统就面临攻击的可能，IDS如果被攻击，这种努力就失败了。在内核一级实现，并且是比较系统地实现，在技术上才是一个大的突破。
　　
　　虚拟专用防火墙（VPF）
　　
　　很多人了解虚拟专用网（VPN），VPN的一个特点是对用户来讲，整个网络好像是给个人专用的。防火墙是一个内部网络公用的，那么虚拟专用防火墙就是好像给个人专用的。因为给个人专用，那么很安全。VPF针对具体的用户给出特有的安全规则集。当用户要求使用防火墙时，防火墙首先确认用户身份，对用户进行鉴别，然后动态地创建一个虚拟的接口给用户，调查用户的安全规则集，加载在该虚拟接口上，其他用户看不到该接口，由于采用状态记忆技术，只有该用户才可以使用该接口，用户不使用时，该虚拟接口自动消失。VPF像VPN一样，具有极大的安全性，而且是透明的，基本上接近线速，是高安全性、高性能、应用透明的下一代防火墙。
　　
　　多级防火墙
　　
　　这种防火墙对传统防火墙的假设提出了挑战。传统的防火墙假设，两个网络之间有一个唯一的“关口”和有明确的边界。这种粗旷的假设导致细微的安全策略很难实现。现在技术的发展和进步有助于改变这种情况。由于超大规模IC的发展，未来的硬件在同时支持路由、交换和防火墙方面完全可能，而且性能比目前的体系结构要好很多。这种多级防火墙，本身既可以当路由器，也可以当交换机（到底在几层上交换，依赖于用户的设置），当然也是防火墙。由于采用了ASIC技术，性能没有问题。

原文转自：http://www.ltesting.net