黑色海岸线论坛 - Powered by Discuz! Board

标题: 防火墙:深度包检测技术的演进历程和技术反思 [打印本页]

作者: 所谓伊人 时间: 2005-6-17 07:52 标题: 防火墙:深度包检测技术的演进历程和技术反思

从最简单的分组过滤防火墙到应用层网关，自诞生之日开始，防火墙日益承担起越来越多的网络安全角色。近年来，一项创新的防火墙技术正广泛的获得应用，这就是被称为深度包检测的DIP（Deep Packet Inspection）技术。
　　历史回顾
　　在深入了解深度包检测技术之前，我们首先来回顾一下防火墙检测技术发展的历史。这些检测技术并没有随着科技的前进而消失。相反，正是以这些技术为基础，才发展出了更多先进的功能元素。
　　最早出现并获得广泛应用的分组过滤式防火墙可以被称为第一代防火墙。最基本的分组过滤防火墙会根据第三层的参数（如源IP地址和目标IP地址）检查通过网络的数据包，再由内建在防火墙中的分组过滤规则依据这些参数来确定哪些数据包被放行，哪些数据包被阻隔。之后又出现了应用层网关防火墙，这种防火墙经常被称为基于代理服务器的防火墙，因为它会代表各种网络客户端执行应用层连接，即提供代理服务。应用层网关的工作方式与分组过滤技术有很大的不同，其所有访问都在应用层（OSI模型的第七层）中控制，并且也没有任何网络客户端能直接与服务端进行通信，如图1所示。

近来，可编程ASIC技术的发展以及更有效的规则算法的出现，大大增强了深度包检测引擎的执行能力，让这项技术在性能方面的压力得到了缓解。而将防火墙与入侵检测系统的功能封装在单个设备中也可以使得管理方面的负担得到减轻，所以应用了深度包检测技术的产品受到了相当一部分管理员的好评。一些主要的防火墙供应商，包括CheckPoint、Cisco、NetScreen、Symantec，都在不断增加其防火墙产品中的应用数据分析功能。
　　反思
　　我们在为深度包检测技术感到鼓舞的同时，也不能忘记这个世界上并不存在完美的技术。现在应用深度包检测的产品通常都是一体化的安全设备，相比之下，传统防火墙和入侵检测产品的一个重要优势在于不会因为单个安全组件的瘫痪导致整个网络处于无保护状态。同时如果将越多的功能集中在单一设备中，我们就越把自己限制于单个产品供应商。
　　这些可能会使我们在很大程度上丧失灵活性。对于具有高度动态性特征的安全事务，这可不是个可以忽视的问题。另外，我们的安全阵线已经处于一种非常复杂的境地，在我们的安全边界，已经充斥着各种传统的防火墙和入侵检测设备以及各种Honeypot产品，深度包检测技术的融合能够真正降低这种复杂性还是更进一步恶化现状，还需要我们认真面对。
　　最后，尽管目前深度包检测技术的性能获得了可观的提升，但是在同等硬件条件下，检测内容多的任务必定要比检测内容少的任务耗费时间，所以相对于只检测包头的传统检测技术，深入包检测技术的应用应该更有目的性，而不应该被当作一种“万灵药”。

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)