【正文】 全問題也是現(xiàn)在注重考慮的問題。時光飛梭，隨著計算機和網(wǎng)絡的發(fā)展，各種攻擊入侵手段也相繼出現(xiàn)了，為了保護計算機的安全，人們開發(fā)出一種能阻止計算機之間直接通信的技術(shù)，并沿用了古代類似這個功能的名字 —— “防火墻”技術(shù)來源于此。而使用軟件防火墻后，盡管 ndis 接收到仍然的是原封不動的數(shù)據(jù)報文，但是在提交到系統(tǒng)的通道上多了一層防御機制，所有數(shù)據(jù)報文都要經(jīng)過這層機制根據(jù)一定的規(guī)則判斷處理，只有它認為安全的數(shù)據(jù)才能到達系統(tǒng)，其他數(shù)據(jù)則被丟棄。雖然這樣做也是可以的，但是工作效率并不能和真正的 pc 架構(gòu)防火墻相比，因為 pc 架構(gòu) 防火墻采用的是專門修改簡化過的系統(tǒng)和相應防火墻程序，比一般計算機系統(tǒng)和軟件防火墻更高度緊密集合，而且由于它的工作性質(zhì)決定了它要具備非常高的穩(wěn)定性、實用性和非常高的系統(tǒng)吞吐性能，這些要求并不是安裝了多網(wǎng)卡的計算機就能簡單替代的，因此 pc 架構(gòu)防火墻雖然是與計算機差不多的配置，價格卻相差很大。我們的讀者還記得“代理”的概念嗎？代理服務器作為一個為用戶保密或者突破訪問限制的數(shù)據(jù)轉(zhuǎn)發(fā)通道，在網(wǎng)絡上應用廣泛。代理防火墻是以犧牲速度為代價換取了比包過濾防火墻更高的安全性能，在網(wǎng)絡吞吐量不是很大的情況下，也許用戶不會察覺到什么，然而到了數(shù)據(jù)交換頻繁的時刻，代理防火墻就成了整個網(wǎng)絡的瓶頸，而且一旦防火墻的硬件配置支撐不住高強度的數(shù)據(jù)流量而發(fā)生罷工，整個網(wǎng)絡可能就會因此癱瘓了。 從概念的定義上看， UTM既提出了具體產(chǎn)品的形態(tài)，又涵蓋了更加深遠的邏輯范疇。 IPS理念在 20 世紀 90年代就已經(jīng)被提出，但是目前全世界對 IPS 的部署非常有限，影響其部署的一個重要問題就是誤報率。如果使用得當，可以在很大程度上提高網(wǎng)絡安全。在此我要向我的老 師致以最衷心的感謝和深深的敬意。 [2] 賀雪晨 . 黑客入侵分析與防范 .北京市：清華大學出版社， 2022 年， 58 頁。事實上 60%以上的網(wǎng)絡安全問題來自網(wǎng)絡內(nèi)部。 （ 3）有高可靠性、高性能的硬件平臺支撐。 由于 UTM 設備是串聯(lián)接入的安全設備，因此 UTM 設備本身必須具備良好的性能和高可靠性，同時， UTM 在統(tǒng)一的產(chǎn)品管理平臺下，集防火墻、 VPN、網(wǎng)關(guān)防病毒、 IPS、拒絕服務攻擊等眾多產(chǎn)品功能于一體，實現(xiàn)了多種防 御功能，因此，向UTM方向演進將是防火墻的發(fā)展趨勢。 這是繼“包過濾”技術(shù)和“應用代理”技術(shù)后發(fā)展的防火墻技術(shù)，它是checkpoint 技術(shù)公司在基于“包過濾”原理的“動態(tài)包過濾”技術(shù)發(fā)展而來的，與之類似的有其他廠商聯(lián)合發(fā)展的“深度包檢測”（ deep packet inspection）技術(shù)。那么，如果在一臺代理設備的服務端和客戶端之間連接一個過濾措施呢？這樣的思想便造就了“應用代理”防火墻，這種防火墻實際上就是一臺小型的帶有數(shù)據(jù)檢測過濾功能的透明代理服務器（ transparent proxy），但是它并不是單純的在一個代理設備中嵌入包過濾技術(shù)，而是一種被稱為“應用協(xié)議分析”（ application protocol analysis）的新技術(shù)。 為防火墻分類的方法很多，除了從形式上把它分為軟件防火墻和硬件防火墻以外，還可以從技術(shù)上分為“包過濾型”、“應用代理型”和“狀態(tài)監(jiān)視”三類；從結(jié)構(gòu)上又分為單一主機防火墻、路由集成式防火墻和分布式防火墻三種；按工作位置分為邊界防火墻、個人防火墻和混合防火墻；按 防火墻性能分為百兆級防火墻和千兆級防火墻兩類??雖然看似種類繁多，但這只是因為業(yè)界分類方法不同罷了，例如一臺硬件防火墻就可能由于結(jié)構(gòu)、數(shù)據(jù)吞吐量和工作位置而規(guī)劃為“百兆級狀態(tài)監(jiān)視型邊界防火墻”，因此這里主要介紹的是技術(shù)方面的分類，即“包過濾型”、“應用代理型”和“狀態(tài)監(jiān)視型”防火墻技術(shù)。 軟件防火墻工作于系統(tǒng)接口與 ndis 之間，用于檢查過濾由 ndis 發(fā)送過來的數(shù)據(jù)，在無需改動硬件的前提下便能實現(xiàn)一定強度的安全保障，但是由于軟件防火墻自身屬于運行于系統(tǒng)上的程序，不可避免的需要占用一部分 cpu 資源維持工作，而且由于數(shù)據(jù)判斷處理需要一定的時間，在一些數(shù)據(jù)流量大的網(wǎng)絡里，軟件防火墻會使整個系統(tǒng)工作效率和數(shù)據(jù)吞吐速度下降，甚至有些軟件防火墻會存在漏洞，導致有害數(shù)據(jù)可以繞過它的防御體系，給數(shù)據(jù)安全帶來損失，因此，許多企業(yè)并不會考慮用軟件防火墻方案作為公司網(wǎng)絡的防御措施，而是使用看得見摸得著的