以往的复合防火墙主要是通过将各类技术(如包过滤、应用网关、服务代理和状态检测等)组合来形成,最新的复合防火墙技术则从软件、系统防护的层面上提出,因此更符合现代网络安全市场的要求。
目前的防火墙主要有包过滤型、应用网关型、服务代理型和状态检测型等几种,其中包过滤型防火墙最为普遍。许多行业用户除希望防火墙产品具有一般的防护功能外,还希望它能提供其他功能,如防病毒、入侵检测、认证、加密、远程管理、代理等。为此,许多厂商提出了复合防火墙的概念:将多种应用功能组合在一起形成功能强大的复合防火墙。现在市面上绝大多数复合防火墙都只是技术复合而成,但随着网络应用的不断增多和变化,传统的复合防火墙在许多场合已不能满足用户的要求,因为它是以牺牲效率为代价,这可能是它最大的弊病,也是用户不能接受的。有鉴于此,一些厂商便提出了新型复合防火墙的概念,它包括软件、系统防护2个层面,是能满足现代网络安全需求的技术。
防火墙是软件
新型的复合型防火墙使用了状态检测包过滤、应用代理等多种先进的安全技术。先进的状态包过滤技术可以有效地对信息流进行安全过滤,避免了用户的非法登录。采用多穴主机结构提高了对网络的保护能力,支持多网络端口以及多LAN的管理实现了内部私有网络的安全划分。当然,动态NAT功能和端口重定向也是复合型防火墙具备的。内置的入侵检测系统能够根据设定的规则检测出端口扫描、源路由攻击、IP碎片攻击及DoS、DDoS等多种攻击行为,保障了网络安全。另外,通过网络接口、IP地址、协议进行带宽管理可以实现对IP地址及特殊服务进行带宽控制,确保带宽合理分配。一些新型复合防火墙,如首创前锋的红旗防火墙还具有基于Web的管理机制,不需专门的管理软件就可在不同地方进行管理控制
防火墙最终是系统
采用自行构造防火墙方式,虽然费用低一些,但仍需要时间和经费开发、配置防火墙系统,需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。防火墙的配备需要相当的费用,如何以最小的费用来最大限度地满足企业网用户的安全需求是企业网决策者应该周密考虑的问题。
从另外一个层面来说,即使是最先进的防火墙,如果没有良好的管理,其本身也有很大的危险性,比如对不经过防火墙的入侵,防火墙是无能为力的。同时,硬件方式构建的防火墙不够灵活,所以在一个实际的网络运行环境中,仅仅依靠防火墙来保证网络的安全显然是不够的,应该根据实际需求采取相应的安全策略,而这不仅仅是软件或者硬件所能完成的,它还需要优良的权限设计和复杂细心的管理,这些都需要做大量的需求分析、按需定制以及持续的售后培训才能达到,所以许多用户常常将防火墙的采购直接放入一个系统集成方案中,这样可以通过协同工作来降低包括采购、整合和服务的成本。