国内外主流防火墙分析

2024年4月21日发(作者：)

1

网盾防火墙与国内外主流防火墙

分析报告

一. 防火墙产品类型发展趋势

在防火墙十多年的发展中，防火墙厂家对防火墙的分类一直在变化，各个厂家对自己的

防火墙产品有不同的标榜。但在我看来，防火墙发展的总趋势都是集中在寻找防火墙性能和

功能的平衡点。下面是五种典型的现行的防火墙种类。

（一.） 包过滤防火墙

传统的包过滤对包的检测是工作在网络层，它只是通过逐个检查单个包的地址，协议以

及端口等信息来决定是否允许此数据包通过。包过滤的主要优点是由高性能和易于配置，因

此尽管包过滤的安全性低，许多厂家仍然不放弃包过滤类型，而且对包过滤进行了大量的功

能扩展，如添加代理功能，用户认证，对话层的状态检测等以提高包过滤的安全性能，以求

做到保证速度和安全性兼得。

（二.） 应用代理防火墙

应用级防火墙主要工作于应用层。它主要的优点是通过完全隔离内网和外网的通信以及

细粒度的内容检测可以达到很强的安全性能。但是它的缺点也很突出，首先它对网络性能影

响很大，其次是必须为每一种服务实现一个代理所造成的开发上的麻烦,最后是应用代理防

火墙对用户配置所造成的麻烦。所以应用代理防火墙的厂商也不断的想办法提高自己的性能

增强自己的竞争力，另一方面也逐步向透明代理过渡以方便用户的使用。

（三.） 混合型防火墙（Hybrid）

由于希望防火墙在功能和处理上能进行融合，保证完善的应用。许多厂家提出了混合型

防火墙的概念。他们认为混合型防火墙应该是动态包过滤和透明代理的有机结合，可以做到

用户无需知道给他提供服务的到底是用了那些技术，而防火墙根据不同的服务要求提供用户

的使用要求和安全策略。而且为了保证性能只有必须使用应用代理才能实现的功能才使用代

理。

（四.） 全状态检测防火墙（Full State Inspection）

这是由一个知名防火墙厂家Checkpoint提出的一种新型防火墙，据Checkpoint关于

firewall-1的技术文档介绍，该种防火墙既能具有包过滤的功能又能具有代理防火墙的安全

性。Firewall-1拥有一个强大的检测模块（Inspection Model）,该模块可以分析所有的包通信

层，并提取相关的通信及应用状态信息。Firewall-1的检查模块位于操作系统的核心，位于

链路层和网络层之间，因此任何包未通过该模块检验通过之前将不会交给更高的协议层处

理。据说状态检测可以支持所有主要的因特网服务和上百种应用程序，如

e-mail,FTP,Telnet,Orable SQL*Net数据库存取和新兴的多媒体应用程序如

2

RealAudio,VDOLive。

（五.） 自适应代理防火墙

这是Network Associate公司提出的号称新一代防火墙——“自适应代理防火墙“。在自

适应防火墙中，在每个连接通信的开始仍然需要在应用层接受检测，而后面的包可以经过安

全规则由自适应代理程序自动的选择是使用包过滤还是代理。自适应代理模块是依靠动态包

过滤模块来得知通信连接的情况，当一个连接到来时，动态包过滤将通知代理并提供源和目

的的信息，然后自适应代理根据管理员关于“安全与性能“选择的配置来灵活的为每一个连

接指定相应的策略。

在自适应代理中，动态包过滤允许代理要求新连接的通知，接着代理就可以检查每个具

体的连接信息，告诉动态包过滤接下去应该对该包作如何处理，如丢弃，转发还是将包提到

应用层检查。动态包过滤对每个连接所采用的过滤规则都是由代理自动调整的。

虽然Network Associate的这套自适应代理技术具有一定的先进性，但据说并未完全被该

公司所实现，因此该公司的技术文档中很难有关于自适应代理的详细的资料。

二. 国外防火墙实现技术分析

由于国外的网络安全要比我们国内发展得早，而且国外的软硬件技术水平也要比国内高

出一节，因此国外的防火墙产品自然比国内的产品要更加成熟和先进。所以我这里将国外防

火墙中所运用的先进技术提出来加以分析。这些技术主要分成以下三大类。

（一.）

性能实现

随着网络速度的不断提升，防火墙的性能越来越成为国外厂家关注的问题，他们一般主

要从硬件，操作系统和检测方法方面作改进。

1. 专用硬件

使用专用的硬件以NetScreen防火墙最为典型，NetScreen防火墙之所以具有很好的性能

是和采用专用硬件设计是分不开的。在每个NetScreen设备中，都有ASIC(Application Specific

Integrated Circuit)芯片，这些专用的ASIC芯片主要用来起到加速防火墙策略检查，加密，

认证，以及PKI过程功能。例如，所有的规则都存储在一个特定的存储区里，当硬件引擎

每次需要检查规则时，就去扫描存储区。因此检查一条规则或20条以上的规则并不会使性

能有什么重大的不同。

另一方面，为了使硬件和软件处理达到最佳配合，NetScreen使用了高速的多总线体系

结构，该体系结构中每个ASIC芯片都配有一个RSIC处理器，SDRAM和以太网接口。因

此NetScreen特有的硬件体系结构的设计可以比使用公共的PC硬件的防火墙产品达到更高

的性能价格比。

2. 专用实时嵌入式操作系统

NetScreen使用了专门的ASIC硬件设计之后，在操作系统也采用了专用的嵌入式操作系

统——ScreenOS。在NetScreen防火墙中每个RISC处理器都运行ScreenOS。ScreenOS是一

个强安全，低维护费用，专门为ASIC线路设计的实时嵌入式操作系统。ScreeOS的任务主

要有三。首先，ScreenOS支持从WebUI（Web界面）和CLI（用户界面）获取配置，管理

和监控任务。其次，ScreenOS和高性能的TCP/IP引擎集成并与ASIC芯片紧密合作完成包

的检测和转发的功能。最后，由于ScreenOS不象其他公用的操作系统平台受到连接表和处

理数目的限制，因此一般地ScreenOS每秒所能支持的TCP并发连接数可达到19，600个。

3

下面解释一下NetScreen专用ASIC硬件和专用ScreenOS操作系统如何配合做到对安全

策略的处理方面达到高性能。NetScreen对包的检测主要分如下几个步骤：首先，进来的包

在网络层被拦截，ScreenOS提供包的格式和框架的检查以辨认是否是畸形包。其次，如果

包是合法的，ScreenOS将检查该包是否属于存在的TCP会话。再次，如果该包所属的TCP

会话的确存在，那么ScreenOS将检查TCP包的序列号和代码域来证明包真正属于给该对话。

如果该包不是属于一个已存在的TCP会话，那么ASIC芯片则要检测该包是否符合安全策

略，如果不符合安全策略则丢包，否则建立新的连接通信。基本原理如下图。

图.NetSceen防火墙对包的处理过程

3. 多CPU和大容量RAM

除了使用专用的硬件和软件设计，大多数的硬件防火墙采用通用PC系统和通用的操作

系统如linux,Solaris,Windows等。这些厂家为了提高整体硬件的性能一般增加参加并行处理

的CPU数目以及RAM的容量。Cyberguard防火墙就是一个典型的例子，该防火墙使用的

CPU数达到4个，而RAM的容量为1G。

4. 检测算法改进

前面都是从硬件和操作系统方面来提高防火墙的性能，另一个提高防火墙的方法则是从

数据包的检测方法上来提高性能。以下由几种典型的包检测的改进方法。

首先，就是前面提到的全状态检测。checkpoint firewall-1的检测模块的工作都是在操作

系统的内核完成，它可以检测所有七层通信协议，并且可以分析包的状态信息。因此既能保

证包检测的性能，又能保证包检测的全面性。之所以Firewall-1检测模块能做到检测应用层

是因为Firewall-1对IP协议包的内部结构很清楚，因此检测模块可以从包的应用内容中提

取数据并将其保存下来为后面的包提供必要的状态信息。Firewall-1检测模块的原理图如下。

4

Firewall-1检测模块工作原理图

其次，就是自适应代理。自从Network Associates的防火墙使用了自适应代理体系结构，

由于只在防火墙检测到可疑通信量时才启用代理，因此在启用NAT后，Gaunlet防火墙的性

能比NetScreen和Checkpoint甚至更好。由于在NetWork Associates()找不

到更多的关于自适应代理的资料，因此对自适应代理基本原理的描述只局限于前面提到的一

部分。

再次，是MAC层状态检测。这是NetGuard公司为其防火墙提出的这种检测方法，由于

包的检测是处于MAC层，因此能很明显的提高防火墙的性能，并且使得它对操作系统安全

漏洞具有免疫功能。

最后，快速代理（cut-through proxy）这是由Cisco 公司对代理性能的一种改进，但是这

种改进是否保证安全还需考证。Cisco认为一个代理服务器必须对包进行七层协议的检查是

很浪费时间的，而PIX防火墙只是对每个通信连接的开始通过认证服务器进行必要的用户

认证（如外部用户采用一次性口令），然后就可建立起直接的数据流，这样速度自然要快得

多。Cisco在检测安全时还使用了适应性安全算法（Adaptive Security Algorithm）,该算法接

近于状态检测，它将防火墙所连接的网络进行安全分级，ASA算法遵守下列规则：每个包

必须经过状态检查；除了被安全策略拒绝，任何从安全区域向相对不安全区域发的包放行；

除了被安全策略允许，任何从相对不安全区域向安全区域发的包拒绝；所有ICMP包除了被

指定允许否则都拒绝。从Cisco提出的ASA算法和cut-through proxy的方案可以看出Cisco

是有点想牺牲点安全来换取性能。

（二.）

功能实现

防火墙的功能比较多种多样，国外各个厂家一方面都提供了一些防火墙基本功能和常见

功能，另一方面也多多少少有自己的一些特色功能。由于防火墙的基本功能和常见的功能如

NAT，PAT，内容过滤，负载平衡，高可靠性，透明模式等网盾防火墙已基本实现，所以这

里将不再对其叙诉。我这里只对我们未实现过的一些功能加以简单的描述。

1. 多种身份认证体系和灵活的认证方法

由于现今各种操作系统支持多种认证方案，因此许多防火墙厂商为用户提供了多种的认

证体系以便用户使用，例如，checkpoint认证体系大概有六种：防火墙口令, RADIUS或

TACACS/TACACS+服务器，数字证书，S/Key，SecurID Tokens，Axent Pathways Defender，

OS口令。

为了使防火墙用户能灵活的控制认证对象，Checkpoint还提供了三种不同的认证方法：

5

用户认证，IP地址认证，对话认证（基于每个对话对每个服务作认证）。

最后一个是许多公司提出的透明的用户ID和地址认证服务体系。该种透明认证的实现

是通过将Windows NT的域认证方案和它的防火墙合为一体。该透明的认证服务可以自动的

捕捉Windows NT系统的登录信息和本机动态分配的地址，然后这些捕捉到的信息就可以直

接作为防火墙认证的信息，这样就可以做到用户透明认证。

2. 防病毒检测

很多防火墙都增加了防病毒功能，他们一般是通过集成第三方的防病毒软件实现，例如，

Checkpoint通过它的CVP(Content Vectoring Protocol)服务器集成第三方的防病毒产品。如果

防火墙的ftp服务需要病毒检测，那么防火墙就会拦截FTP所传送的文件送往CVP服务器

接受检测，然后防火墙在根据CVP服务器的检查来处理该FTP的连接。

3. 入侵检测

在防火墙中绑定入侵检测也是现在国外增强防火墙安全性的一种重要方法。由于防火墙

对安全的手段一般趋于静态，而入侵检测则趋于动态，对安全的防范做到动静结合我想这是

很多厂家的想法。但是做到入侵检测和防火墙真正紧密配合还是要花一定的功夫。例如，入

侵检测是否可以根据检测到的情况直接对防火墙进行动态控制。

4. 多媒体服务支持

互联网的多媒体应用已经在企业和用户中很流行，但是多媒体应用由于要求打开许多

端口也给网络安全带来相当的威胁。由于多媒体应用的一个重要特征就是数据量大而且要求

速度快，因此对付防火墙的安全性检查的性能就需要一定的要求，Cisco公司的产品PIX对

多媒体应用很重视，他自称可以做到性能和安全兼得。他们支持的多媒体应用包括：

RealAudio,Streamworks,CU-SeeMe,Internet Phone,IRC,Vxtreme,VDO Live。

5. VPN

VPN是指在公共通信通道中使用虚拟隧道的技术，由于这种应用的客户需求很大，因此

几乎所有的防火墙厂家都将它与防火墙绑定。他们都将管理简易、高速吞吐量和强有力的安

全特性作为衡量VPN好坏的标准。

CommWeb和Network Test Inc进行合作测试，最后发现有三个网关在能够提供安全性、

可扩展性、使用简单和价格性能比的最佳组合。具有最高水平的设备是来自NetScreen

Technologies Inc的NetScreen-100，它没有安全问题，在我们测试的任何设备中具有最高的

吞吐量，同时有一个比较公平的价格。来自Cisco Systems Inc的 Cisco 7100 VPN 路由器和

其他测试设备比较，提供更加强大的安全性能，具有优秀的管理特点，同时支持更多的并发

连接，尽管其价格是高了一些。Lucent Technologies的 VPN Firewall Brick 80在我们测试的

高端设备中，提供非常好的管理性能，极佳的参数和最好的价格性能比。

由于VPN运作也是较复杂的一部分，这里不再详诉。如果有必要，可以加以更深一步

的调研。

（三.）

管理

防火墙的功能和性能固然重要，但是系统管理员是通过防火墙的管理界面来与控制防火

墙，因此提供一个系统，灵活，简单且直观的管理也是防火墙吸引客户的一个重要方面。因

此国外的厂家在管理界面方面也下了一定的功夫，成为他们宣传中的一个亮点。

1. 基于客户机/服务器的管理方式

Check-point的管理非常具有它的独特性，而且它的管理方式在业界享有盛誉，因此给我

留下很深的印象。Check-point总的管理模式是基于客户机/服务器方式的如下图。这种管理

方式具有高性能，可扩展，集中管理等优点。在这种模式下，管理员可以通过单一的用户界

面对公司中所有网络安全设备进行配置，管理和监控。这种管理模式有三个部分组成：用户

6

界面（GUI）,管理服务器，网络安全模块。其中管理服务器相当于安全数据库，它储存了

用户界面

管理服务器

路由，网关，VPN,Firewall-1,入侵检测等服务器

图。 分布式客户/服务器管理模式

网络对象定义，用户定义，安全策略，所有网络安全设备的日志文件等信息。然后管理服务

器负责这些安全策略下载到各网络安全设备。还有各个安全设备的升级问题也可以由管理服

务器统一管理，你只要更新管理服务器上的版本，那么需要更新的安全设备就会觉察到这种

改变接着从管理服务器上下载更新文件自动更新自己。

2. 简单的面向对象管理思想

Checkpoint对安全策略的配置是基于面向对象思想。他们把网络资源（网段，路由器，

网关，服务）看作一个对象，这些对象都有一套各自的属性如姓名，IP地址或范围，NAT

等。然后定义好的对象就可以在规则策略表（rule base）中方便的使用。因此为整个网络通

信所定义的规则策略表显得非常的简练，清楚。该规则表的原型可以在Firewall-1的demo

中看到。

3. 视觉化策略编辑

为了让管理员对整个网络的结构有一个直观的理解，Check-point的界面让网管者可以检

视图形化的整体网路安全部署架构同时管理安全政策。「视觉化策略编辑」会显示进入企业

网路的连线，而任何安全政策的改变都会显示在「视觉化策略编辑」的图示中，以真实反应

网路安全的状况同时确保较高等级的安全。

安全策略

可供选

择的对

象目录

视觉化策略编辑

4. 多种管理方式

由于管理员控制设备的习惯各异，而且配置过程中实际情况不同，因此为管理员准备多种

配置方式是很有必要的。基本的方式包括：

•

•

•

•

自带 Web 服 务 器：方 便 地 通 过 流 行 的 浏 览 器 进 行 管 理

Windows 95/NT/2000 图形界面：可 关 闭 远 程 的 管 理 方 式， 只 用 本 地

的、 安 全 的 管 理

SNMP 管 理 方 式：通 过 网 络 管 理 软 件 管 理

命令行界面：支 持 批 处 理 方 式 及 通 过 调 制 解 调 器的备 用 渠 道 进

行 控 制

7

三. 网盾防火墙与国内外主流防火墙相比不足之外

（一.） 性能方面

1． 产品外形急待改进，国内外主流产品已全部采用1U机器，

而网盾防火墙仍是2U。

2．

产品硬件也需改进，由于网盾防火墙采用普通PC机的硬件，

在运行速度和启动速度上都很慢，这点和国内外这款同档次

防火相比差距很大。

3．

网盾防火墙的系统性能仍需提高，在我公司测试过程中，当

同时并发数变多时，系统速度明显变慢。

4．

代理和包过滤同时使用时，系统会明显变慢。

（二.） 功能方面

1． 网盾防火墙支持的用户认证方式比效少。

2． VPN现在已算主流防火墙的一个功能，但网盾防火墙不支持

VPN功能。

3．

网盾防火墙日志管理、分析和主流防火墙相比有一定的差距。

如实时日志查看比较困难，也不能生成清楚的日志报表。

4．

在基于Lotus Domino邮件系统做SMTP代理时，有问题。

（三.） 管理方面

1． 网盾防火墙只提供单一的GUI管理方式，如基于Web形式

和串口方式的都不支持，这给管理带来很多不便。

2．

网盾GUI管理端软件管理配置界面不直观也不美观，且运行

时对系统资源占用比较大。