智能防火牆

防火牆已經被用户普遍接受，而且正在成為一種主要的網絡安全設備。防火牆圈定一個保護的範圍，並假定防火牆是唯一的出口，然後防火牆來決定是放行還是封 鎖進出的包。傳統的防火牆有一個重大的理論假設―如果防火牆拒絕某些數據包的通過，則一定是安全的，因為這些包已經被丟棄。但實際上防火牆並不保證准許通過的數據包是安全的，防火牆無法判斷一個正常的數據包和一個惡意的數據包有什麼不同，而是要求管理員來保證該包是安全的。管理員必須告訴防火牆准許通過什麼，防火牆則依據設置的規則來准許該包通過，這樣管理員就必須承擔策略錯誤的安全責任。然而，傳統防火牆的這種假設對網絡安全是不恰當的，安全效果也不好。把安全責任交給安全管理員，實際上就沒有解決安全問題。新一代的防火牆應該加強放行數據的安全性，因為網絡安全的真實需求是既要保證安全，也必須保證應用的正常進行 ^[1]  。

智能防火牆是一種更聰明、更智能的防火牆產品，它克服了傳統防火牆“一管就死，一放就亂”的狀況，修正了上述防火牆的重大假設。新的智能防火牆把“出口”的概念改變為“關口”的概念，所有經過“關口”的數據包都必須接受防火牆的檢查。與傳統防火牆採用的數據匹配檢查的技術不同，新的智能防火牆採用人工智能識別技術來決定訪問控制。智能防火牆比傳統的防火牆更安全，效率更高。

傳統防火牆

防火牆無論從技術上還是產品發展歷程上，都經歷了五個發展階段。第一代防火牆技術幾乎與路由器同時出現，採用了包過濾（Packet filter）技術。1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火牆，即電路層防火牆，同時提出了第三代防火牆―應用層防火牆（代理防火牆）的初步結構。1992年，USC信息科學院的BobBraden開發出了基於動態包過濾（Dynamic packet filter）技術的第四代防火牆，後來演變為所説的狀態監視（Stateful inspection）技術。1994年，以色列CheckPoint公司開發出了第一個採用這種技術的商業化的產品。1998年，NAI公司推出了一種自適應代理（Adaptive proxy）技術，並在其產品Gauntlet Firewall for NT中得以實現，給代理類型的防火牆賦予了全新的意義，可以稱之為第五代防火牆。

前五代防火牆技術有一個共同的特點，就是採用逐一匹配方法，計算量太大。包過濾是對IP包進行匹配檢查，狀態檢測包過濾除了對包進行匹配檢查外還要對狀態信息進行匹配檢查，應用代理對應用協議和應用數據進行匹配檢查。因此，它們都有一個共同的缺陷―安全性越高，檢查的越多，效率越低。用一個定律來描述，就是防火牆的安全性與效率成反比。

沒有人懷疑防火牆在所有的安全設備採購中佔據第一的位置。但傳統的防火牆並沒有解決網絡主要的安全問題。網絡安全的三大主要問題是：以拒絕訪問（DDOS）為主要目的的網絡攻擊，以蠕蟲（Worm）為主要代表的病毒傳播，以垃圾電子郵件（SPAM）為代表的內容控制。這三大安全問題覆蓋了網絡安全方面的絕大部分問題。而這三大問題，傳統的防火牆是無能為力的。原因有三，一是傳統防火牆計算能力的限制。傳統的防火牆是以高強度的檢查為代價，檢查的強度越高，計算的代價越大。二是傳統防火牆的訪問控制機制是一個簡單的過濾機制。它是一個簡單的條件過濾器，不具有智能功能，無法應對複雜的攻擊。三是傳統的防火牆無法區分識別善意和惡意的行為，該特徵決定了傳統的防火牆無法解決惡意的攻擊行為。

智能防火牆是相對傳統的防火牆而言的，顧名思義，它更聰明、更智能。80%的用户非常接受智能防火牆的概念，在他們的眼裏，不聰明就是不可靠、不安全。找個不聰明的保鏢，你覺得安全嗎？傳統防火牆存在的很多問題，用户往往難以理解。用户經常會問，為什麼防火牆不能防止黑客的攻擊？安全專家用記錄的數據來分析，一眼就發現黑客的攻擊，為什麼防火牆不行？原因就是傳統的防火牆是一個簡單機制，只能機械地執行安全策略。

智能防火牆從技術特徵上，是利用統計、記憶、概率和決策的智能方法來對數據進行識別，並達到訪問控制的目的。新的數學方法，消除了匹配檢查所需要的海量計算，高效發現網絡行為的特徵值，直接進行訪問控制。由於這些方法多是人工智能學科採用的方法，因此被稱為智能防火牆。

一個典型的例子可以説明智能防火牆對網絡安全是多麼的重要。傳統的防火牆對包的檢查，就像對人的相貌的識別，採用圖像識別一樣。把一個人的相貌轉換為圖像，對圖像的每一個像素進行記憶，然後進行匹配檢查。通過檢查上千萬個像素之後，告訴你這是誰。人不是這樣來識別相貌的。人幾乎沒有計算就可以實時地識別你是誰。這就是智能識別。智能防火牆無須海量計算就可以輕鬆找到網絡行為的特徵值來識別網絡行為，從而輕鬆的執行訪問控制。

總之，智能防火牆的出現正可謂應運而生，必將把信息安全帶入新的境界。

智能防火牆成功地解決了普遍存在的拒絕服務攻擊（DDOS）的問題、病毒傳播問題和高級應用入侵問題，代表着防火牆的主流發展方向。新一代智能防火牆自身的安全性較傳統的防火牆有很大的提高，在特權最小化、系統最小化、內核安全、系統加固、系統優化和網絡性能最大化方面，與傳統防火牆相比有質的飛躍。其主要應用領域如下：

防範惡意數據攻擊：智能防火牆能智能識別惡意數據流量，並有效地阻斷惡意數據攻擊，解決SYN Flooding、Land Attack、UDP Flooding、Fraggle Attack、Ping Flooding、Smurf、Ping of Death、Unreachable Host等攻擊，有效的切斷惡意病毒或木馬的流量攻擊。

防範黑客攻擊：智能防火牆能智能識別黑客的惡意掃描，並有效地阻斷或欺騙惡意掃描者。對已知的掃描工具如ISS、SSS、NMAP等掃描工具，可以防止被掃描。並可有效地解決惡意代碼的惡意掃描攻擊。

防範MAC欺騙和IP欺騙：智能防火牆提供基於MAC的訪問控制機制，可以防止MAC欺騙和IP欺騙，支持MAC過濾，支持IP過濾。將防火牆的訪問控制擴展到OSI的第二層。

入侵防禦：智能防火牆為了解決准許放行包的安全性，對準許放行的數據進行入侵檢測，並提供入侵防禦保護，這樣就完成了深層數據包監控，並能阻斷應用層攻擊。

防範潛在風險：智能防火牆支持包擦洗技術，對IP、TCP、UDP、ICMP等協議的擦洗，實現協議的正常化，消除潛在的協議風險和攻擊。這些方法對消除TCP/IP協議的缺陷和應用協議的漏洞所帶來的威脅，效果顯著。

綜上所述，與傳統防火牆相比，智能防火牆在保護網絡和站點免受黑客的攻擊、阻斷病毒的惡意傳播、有效監控和管理內部局域網、保護必需的應用安全、提供強大的身份認證授權和審計管理等方面，都有廣泛的應用價值。