【正文】 全問(wèn)題也是現(xiàn)在注重考慮的問(wèn)題。時(shí)光飛梭，隨著計(jì)算機(jī)和網(wǎng)絡(luò)的發(fā)展，各種攻擊入侵手段也相繼出現(xiàn)了，為了保護(hù)計(jì)算機(jī)的安全，人們開(kāi)發(fā)出一種能阻止計(jì)算機(jī)之間直接通信的技術(shù)，并沿用了古代類(lèi)似這個(gè)功能的名字 —— “防火墻”技術(shù)來(lái)源于此。而使用軟件防火墻后，盡管 ndis 接收到仍然的是原封不動(dòng)的數(shù)據(jù)報(bào)文，但是在提交到系統(tǒng)的通道上多了一層防御機(jī)制，所有數(shù)據(jù)報(bào)文都要經(jīng)過(guò)這層機(jī)制根據(jù)一定的規(guī)則判斷處理，只有它認(rèn)為安全的數(shù)據(jù)才能到達(dá)系統(tǒng)，其他數(shù)據(jù)則被丟棄。雖然這樣做也是可以的，但是工作效率并不能和真正的 pc 架構(gòu)防火墻相比，因?yàn)?pc 架構(gòu) 防火墻采用的是專(zhuān)門(mén)修改簡(jiǎn)化過(guò)的系統(tǒng)和相應(yīng)防火墻程序，比一般計(jì)算機(jī)系統(tǒng)和軟件防火墻更高度緊密集合，而且由于它的工作性質(zhì)決定了它要具備非常高的穩(wěn)定性、實(shí)用性和非常高的系統(tǒng)吞吐性能，這些要求并不是安裝了多網(wǎng)卡的計(jì)算機(jī)就能簡(jiǎn)單替代的，因此 pc 架構(gòu)防火墻雖然是與計(jì)算機(jī)差不多的配置，價(jià)格卻相差很大。我們的讀者還記得“代理”的概念嗎？代理服務(wù)器作為一個(gè)為用戶(hù)保密或者突破訪問(wèn)限制的數(shù)據(jù)轉(zhuǎn)發(fā)通道，在網(wǎng)絡(luò)上應(yīng)用廣泛。代理防火墻是以犧牲速度為代價(jià)換取了比包過(guò)濾防火墻更高的安全性能，在網(wǎng)絡(luò)吞吐量不是很大的情況下，也許用戶(hù)不會(huì)察覺(jué)到什么，然而到了數(shù)據(jù)交換頻繁的時(shí)刻，代理防火墻就成了整個(gè)網(wǎng)絡(luò)的瓶頸，而且一旦防火墻的硬件配置支撐不住高強(qiáng)度的數(shù)據(jù)流量而發(fā)生罷工，整個(gè)網(wǎng)絡(luò)可能就會(huì)因此癱瘓了。 從概念的定義上看， UTM既提出了具體產(chǎn)品的形態(tài)，又涵蓋了更加深遠(yuǎn)的邏輯范疇。 IPS理念在 20 世紀(jì) 90年代就已經(jīng)被提出，但是目前全世界對(duì) IPS 的部署非常有限，影響其部署的一個(gè)重要問(wèn)題就是誤報(bào)率。如果使用得當(dāng)，可以在很大程度上提高網(wǎng)絡(luò)安全。在此我要向我的老 師致以最衷心的感謝和深深的敬意。 [2] 賀雪晨 . 黑客入侵分析與防范 .北京市：清華大學(xué)出版社， 2022 年， 58 頁(yè)。事實(shí)上 60%以上的網(wǎng)絡(luò)安全問(wèn)題來(lái)自網(wǎng)絡(luò)內(nèi)部。 （ 3）有高可靠性、高性能的硬件平臺(tái)支撐。 由于 UTM 設(shè)備是串聯(lián)接入的安全設(shè)備，因此 UTM 設(shè)備本身必須具備良好的性能和高可靠性，同時(shí)， UTM 在統(tǒng)一的產(chǎn)品管理平臺(tái)下，集防火墻、 VPN、網(wǎng)關(guān)防病毒、 IPS、拒絕服務(wù)攻擊等眾多產(chǎn)品功能于一體，實(shí)現(xiàn)了多種防 御功能，因此，向UTM方向演進(jìn)將是防火墻的發(fā)展趨勢(shì)。 這是繼“包過(guò)濾”技術(shù)和“應(yīng)用代理”技術(shù)后發(fā)展的防火墻技術(shù)，它是checkpoint 技術(shù)公司在基于“包過(guò)濾”原理的“動(dòng)態(tài)包過(guò)濾”技術(shù)發(fā)展而來(lái)的，與之類(lèi)似的有其他廠商聯(lián)合發(fā)展的“深度包檢測(cè)”（ deep packet inspection）技術(shù)。那么，如果在一臺(tái)代理設(shè)備的服務(wù)端和客戶(hù)端之間連接一個(gè)過(guò)濾措施呢？這樣的思想便造就了“應(yīng)用代理”防火墻，這種防火墻實(shí)際上就是一臺(tái)小型的帶有數(shù)據(jù)檢測(cè)過(guò)濾功能的透明代理服務(wù)器（ transparent proxy），但是它并不是單純的在一個(gè)代理設(shè)備中嵌入包過(guò)濾技術(shù)，而是一種被稱(chēng)為“應(yīng)用協(xié)議分析”（ application protocol analysis）的新技術(shù)。 為防火墻分類(lèi)的方法很多，除了從形式上把它分為軟件防火墻和硬件防火墻以外，還可以從技術(shù)上分為“包過(guò)濾型”、“應(yīng)用代理型”和“狀態(tài)監(jiān)視”三類(lèi)；從結(jié)構(gòu)上又分為單一主機(jī)防火墻、路由集成式防火墻和分布式防火墻三種；按工作位置分為邊界防火墻、個(gè)人防火墻和混合防火墻；按 防火墻性能分為百兆級(jí)防火墻和千兆級(jí)防火墻兩類(lèi)??雖然看似種類(lèi)繁多，但這只是因?yàn)闃I(yè)界分類(lèi)方法不同罷了，例如一臺(tái)硬件防火墻就可能由于結(jié)構(gòu)、數(shù)據(jù)吞吐量和工作位置而規(guī)劃為“百兆級(jí)狀態(tài)監(jiān)視型邊界防火墻”，因此這里主要介紹的是技術(shù)方面的分類(lèi)，即“包過(guò)濾型”、“應(yīng)用代理型”和“狀態(tài)監(jiān)視型”防火墻技術(shù)。 軟件防火墻工作于系統(tǒng)接口與 ndis 之間，用于檢查過(guò)濾由 ndis 發(fā)送過(guò)來(lái)的數(shù)據(jù)，在無(wú)需改動(dòng)硬件的前提下便能實(shí)現(xiàn)一定強(qiáng)度的安全保障，但是由于軟件防火墻自身屬于運(yùn)行于系統(tǒng)上的程序，不可避免的需要占用一部分 cpu 資源維持工作，而且由于數(shù)據(jù)判斷處理需要一定的時(shí)間，在一些數(shù)據(jù)流量大的網(wǎng)絡(luò)里，軟件防火墻會(huì)使整個(gè)系統(tǒng)工作效率和數(shù)據(jù)吞吐速度下降，甚至有些軟件防火墻會(huì)存在漏洞，導(dǎo)致有害數(shù)據(jù)可以繞過(guò)它的防御體系，給數(shù)據(jù)安全帶來(lái)?yè)p失，因此，許多企業(yè)并不會(huì)考慮用軟件防火墻方案作為公司網(wǎng)絡(luò)的防御措施，而是使用看得見(jiàn)摸得著的