1
网盾防火墙与国内外主流防火墙
分析报告
一. 防火墙产品类型发展趋势
在防火墙十多年的发展中, 防火墙厂家对防火墙的分类一直在变化, 各个厂家对自己的
防火墙产品有不同的标榜。 但在我看来, 防火墙发展的总趋势都是集中在寻找防火墙性能和
功能的平衡点。下面是五种典型的现行的防火墙种类。
(一. ) 包过滤防火墙
传统的包过滤对包的检测是工作在网络层,它只是通过逐个检查单个包的地址,协议以
及端口等信息来决定是否允许此数据包通过。 包过滤的主要优点是由高性能和易于配置, 因
此尽管包过滤的安全性低, 许多厂家仍然不放弃包过滤类型, 而且对包过滤进行了大量的功
能扩展,如添加代理功能,用户认证,对话层的状态检测等以提高包过滤的安全性能, 以求
做到保证速度和安全性兼得。
(二. ) 应用代理防火墙
应用级防火墙主要工作于应用层。 它主要的优点是通过完全隔离内网和外网的通信以及
细粒度的内容检测可以达到很强的安全性能。 但是它的缺点也很突出, 首先它对网络性能影
响很大,其次是必须为每一种服务实现一个代理所造成的开发上的麻烦 ,最后是应用代理防
火墙对用户配置所造成的麻烦。 所以应用代理防火墙的厂商也不断的想办法提高自己的性能
增强自己的竞争力,另一方面也逐步向透明代理过渡以方便用户的使用。
(三. ) 混合型防火墙( Hybrid )
由于希望防火墙在功能和处理上能进行融合,保证完善的应用。许多厂家提出了混合型
防火墙的概念。 他们认为混合型防火墙应该是动态包过滤和透明代理的有机结合, 可以做到
用户无需知道给他提供服务的到底是用了那些技术, 而防火墙根据不同的服务要求提供用户
的使用要求和安全策略。 而且为了保证性能只有必须使用应用代理才能实现的功能才使用代
理。
(四. ) 全状态检测防火墙( Full State Inspection )
这是由一个知名防火墙厂家 Checkpoint 提出的一种新型防火墙,据 Checkpoint 关于
firewall-1 的技术文档介绍,该种防火墙既能具有包过滤的功能又能具有代理防火墙的安全
性。 Firewall-1 拥有一个强大的检测模块( Inspection Model ),该模块可以分析所有的包通信
层,并提取相关的通信及应用状态信息。 Firewall-1 的检查模块位于操作系统的核心,位于
链路层和网络层之间,因此任何包未通过该模块检验通过之前将不会交给更高的协议层处
理 。 据 说 状 态 检 测 可 以 支 持 所 有 主 要 的 因 特 网 服 务 和 上 百 种 应 用 程 序 , 如
e-mail,FTP,Telnet,Orable SQL*Net 数 据 库 存 取 和 新 兴 的 多 媒 体 应 用 程 序 如
RealAudio,VDOLive 。
(五.) 自适应代理防火墙
这是 Network Associate 公司提出的号称新一代防火墙——“自适应代理防火墙“。在自
适应防火墙中, 在每个连接通信的开始仍然需要在应用层接受检测, 而后面的包可以经过安