防火墻未來的技術發展趨勢
責編:admin |2015-02-08 15:58:03隨著新的網絡攻擊的出現,防火墻技術也有一些新的發展趨勢。這主要可以從包過濾技術、防火墻體系結構和防火墻系統管理三方面來體現。
(1)一些防火墻廠商把在AAA系統上運用的用戶認證及其服務擴展到防火墻中,使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網絡應用中非常必要。具有用戶身份驗證的防火墻通常是采用應用級網關技術的,包過濾技術的防火墻不具有。用戶身份驗證功能越強,它的安全級別越高,但它給網絡通信帶來的負面影響也越大,因為用戶身份驗證需要時間,特別是加密型的用戶身份驗證。
(2)多級過濾技術
所謂多級過濾技術,是指防火墻采用多級過濾措施,并輔以鑒別手段。在分組過濾(網絡層)一級,過濾掉所有的源路由分組和假冒的IP源地址;在傳輸層一級,遵循過濾規則,過濾掉所有禁止出或/和入的協議和有害數據包如nuke包、圣誕樹包等;在應用網關(應用層)一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所用通用服務。這是針對以上各種已有防火墻技術的不足而產生的一種綜合型過濾技術,它可以彌補以上各種單獨過濾技術的不足。這種過濾技術在分層上非常清楚,每種過濾技術對應于不同的網絡層,從這個概念出發,又有很多內容可以擴展,為將來的防火墻技術發展打下基礎。
(3)使防火墻具有病毒防護功能。現在通常被稱之為”病毒防火墻”,當然目前主要還是在個人防火墻中體現,因為它是純軟件形式,更容易實現。這種防火墻技術可以有效地防止病毒在網絡中的傳播,比等待攻擊的發生更加積極。擁有病毒防護功能的防火墻可以大大減少公司的損失。
隨著網絡應用的增加,對網絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數據。另外,在以后幾年里,多媒體應用將會越來越普遍,它要求數據穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要,一些防火墻制造商開發了基于ASIC的防火墻和基于網絡處理器的防火墻。從執行速度的角度看來,基于網絡處理器的防火墻也是基于軟件的解決方案,它需要在很大程度上依賴于軟件的性能,但是由于這類防火墻中有一些專門用于處理數據層面任務的引擎,從而減輕了CPU的負擔,該類防火墻的性能要比傳統防火墻的性能好許多。未來防火墻的發展趨勢是朝高速、多功能化、更安全的方向發展。從國內外歷次測試的結果都可以看出,目前防火墻一個很大的局限性是速度不。應用ASIC、FPGA和網絡處理器是實現高速防火墻的主要方法,其中以采用網絡處理器最優,因為網絡處理器采用微碼編程,可以根據需要隨時升級,甚至可以支持IPV6,而采用其它方法就不那么靈活。未來防火墻的操作系統會更安全。隨著算法和芯片技術的發展,防火墻會更多地參與應用層分析,為應用提供更安全的保障。
下一篇:NTFS中的ADS的一些問題