防火牆

出自 MBA智库百科(https://wiki.mbalib.com/)

防火牆（FireWall）

　　防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障，是一種獲取安全性方法的形象說法，它是一種電腦硬體和軟體的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入，防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成。

　　防火牆就是一個位於電腦和它所連接的網路之間的軟體或硬體(其中硬體防火牆用的較少，例如國防部以及大型機房等地才用,因為它價格昂貴)。該電腦流入流出的所有網路通信均要經過此防火牆。

　　防火牆的英文名為“FireWall”，它是目前一種最重要的網路防護設備。從專業角度講，防火牆是位於兩個(或多個)網路間，實施網路之間訪問控制的一組組件集合。

　　防火牆在網路中經常是以下圖所示的兩種圖標出現的。左邊那個圖標非常形象，真正像一堵牆一樣。而右邊那個圖標則是從防火牆的過濾機制來形象化的，在圖標中有一個二極體圖標。而二極體我們知道，它具有單嚮導電性，這樣也就形象地說明瞭防火牆具有單嚮導通性。這看起來與現在防火牆過濾機制有些矛盾，不過它卻完全體現了防火牆初期的設計思想，同時也在相當大程度上體現了當前防火牆的過濾機制。因為防火最初的設計思想是對內部網路總是信任的，而對外部網路卻總是不信任的，所以最初的防火牆是只對外部進來的通信進行過濾，而對內部網路用戶發出的通信不作限制。當然目前的防火牆在過濾機制上有所改變，不僅對外部網路發出的通信連接要進行過濾，對內部網路用戶發出的部分連接請求和數據包同樣需要過濾，但防火牆仍只對符合安全策略的通信通過，也可以說具有“單嚮導通”性。

　　防火牆的本義是指古代構築和使用木製結構房屋的時候，為防止火災的發生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構築物就被稱之為“防火牆”。其實與防火牆一起起作用的就是“門”。如果沒有門，各房間的人如何溝通呢，這些房間的人又如何進去呢？當火災發生時，這些人又如何逃離現場呢？這個門就相當於我們這裡所講的防火牆的“安全策略”，所以在此我們所說的防火牆實際並不是一堵實心牆，而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通信，在這些小孔中安裝了過濾機制，也就是上面所介紹的“單嚮導通性”。

　　當然，既然打算由淺入深的來瞭解，就要先看看防火牆的概念了。防火牆是汽車中一個部件的名稱。在汽車中，利用防火牆把乘客和引擎隔開，以便汽車引擎一旦著火，防火牆不但能保護乘客安全，而同時還能讓司機繼續控制引擎。再電腦術語中，當然就不是這個意思了，我們可以類比來理解，在網路中，所謂“防火牆”，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你 “同意”的人和數據進入你的網路，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網路中的黑客來訪問你的網路。換句話說，如果不通過防火牆，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。

　　防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線，才能接觸目標電腦。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。

　　防火牆對流經它的網路通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標電腦上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信，封鎖特洛伊木馬。最後，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

　　防火牆是網路安全的屏障：

　　一個防火牆（作為阻塞點、控制點）能極大地提高一個內部網路的安全性，並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆，所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。

　　防火牆可以強化網路安全策略：

　　通過以防火牆為中心的安全方案配置，能將所有安全軟體（如口令、加密、身份認證、審計等）配置在防火牆上。與將網路安全問題分散到各個主機上相比，防火牆的集中安全管理更經濟。例如在網路訪問時，一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上，而集中在防火牆一身上。

　　對網路存取和訪問進行監控審計：

　　如果所有的訪問都經過防火牆，那麼，防火牆就能記錄下這些訪問並作出日誌記錄，同時也能提供網路使用情況的統計數據。當發生可疑動作時，防火牆能進行適當的報警，並提供網路是否受到監測和攻擊的詳細信息。另外，收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊，並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。

　　防止內部信息的外泄：

　　通過利用防火牆對內部網路的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者，隱私是內部網路非常關心的問題，一個內部網路中不引人註意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有用戶的註冊名、真名，最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網，這個系統是否在被攻擊時引起註意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息，這樣一臺主機的功能變數名稱和IP地址就不會被外界所瞭解。

　　除了安全作用，防火牆還支持具有Internet服務特性的企業內部網路技術體系VPN（虛擬專用網）。

　　防火牆有不同類型。一個防火牆可以是硬體自身的一部分，你可以將網際網路連接和電腦都插入其中。防火牆也可以在一個獨立的機器上運行，該機器作為它背後網路中所有電腦的代理和防火牆。最後，直接連在網際網路的機器可以使用個人防火牆。

　　我們通常所說的網路防火牆是借鑒了古代真正用於防火的防火牆的喻義，它指的是隔離在本地網路與外界網路之間的一道防禦系統。防火可以使企業內部區域網（LAN）網路與Internet之間或者與其他外部網路互相隔離、限制網路互訪用來保護內部網路。典型的防火牆具有以下三個方面的基本特性：

　　（一）內部網路和外部網路之間的所有網路數據流都必須經過防火牆

　　這是防火牆所處網路位置特性，同時也是一個前提。因為只有當防火牆是內、外部網路之間通信的唯一通道，才可以全面、有效地保護企業網部網路不受侵害。

　　根據美國國家安全局制定的《信息保障技術框架》，防火牆適用於用戶網路系統的邊界，屬於用戶網路邊界的安全保護設備。所謂網路邊界即是採用不同安全策略的兩個網路連接處，比如用戶網路和互聯網之間連接、和其它業務往來單位的網路連接、用戶內部網路不同部門之間的連接等。防火牆的目的就是在網路連接之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火牆的數據流，實現對進、出內部網路的服務和訪問的審計和控制。

　　典型的防火牆體系網路結構如下圖所示。從圖中可以看出，防火牆的一端連接企事業單位內部的區域網，而另一端則連接著互聯網。所有的內、外部網路之間的通信都要經過防火牆。

　　（二）只有符合安全策略的數據流才能通過防火牆

　　防火牆最基本的功能是確保網路流量的合法性，併在此前提下將網路的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的防火牆模型開始談起，原始的防火牆是一臺“雙穴主機”，即具備兩個網路介面，同時擁有兩個網路層地址。防火牆將網路上的流量通過相應的網路介面接收上來，按照OSI協議棧的七層結構順序上傳，在適當的協議層進行訪問規則和安全審查，然後將符合通過條件的報文從相應的網路介面送出，而對於那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火牆是一個類似於橋接或路由器的、多埠的（網路介面>=2）轉發設備，它跨接於多個分離的物理網段之間，併在報文轉發過程之中完成對報文的審查工作。如下圖：

　　（三）防火牆自身應具有非常強的抗攻擊免疫力

　　這是防火牆之所以能擔當企業內部網路安全防護重任的先決條件。防火牆處於網路邊緣，它就像一個邊界衛士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這麼強的本領防火牆操作系統本身是關鍵，只有自身具有完整信任關係的操作系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能，除了專門的防火牆嵌入系統外，再沒有其它應用程式在防火牆上運行。當然這些安全性也只能說是相對的。

　　目前國內的防火牆幾乎被國外的品牌占據了一半的市場，國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火牆廠商對國內用戶瞭解更加透徹，價格上也更具有優勢。防火牆產品中，國外主流廠商為思科（Cisco）、CheckPoint、NetScreen等，國內主流廠商為東軟、天融信、網御神州、聯想、方正等，它們都提供不同級別的防火牆產品。

　　防火牆的硬體體繫結構曾經歷過通用CPU架構、ASIC架構和網路處理器架構，他們各自的特點分別如下：

• 通用CPU架構

　　通用CPU架構最常見的是基於Intel X86架構的防火牆，在百兆防火牆中Intel X86架構的硬體以其高靈活性和擴展性一直受到防火牆廠商的青睞；由於採用了PCI匯流排介面，Intel X86架構的硬體雖然理論上能達到2Gbps的吞吐量甚至更高，但是在實際應用中，尤其是在小包情況下，遠遠達不到標稱性能，通用CPU的處理能力也很有限。

　　國內安全設備主要採用的就是基於X86的通用CPU架構。

• ASIC架構

　　ASIC（Application Specific Integrated Circuit，專用集成電路）技術是國外高端網路設備幾年前廣泛採用的技術。由於採用了硬體轉發模式、多匯流排技術、數據層面與控制層面分離等技術， ASIC架構防火牆解決了帶寬容量和性能不足的問題，穩定性也得到了很好的保證。

　　ASIC技術的性能優勢主要體現在網路層轉發上，而對於需要強大計算能力的應用層數據的處理則不占優勢，而且面對頻繁變異的應用安全問題，其靈活性和擴展性也難以滿足要求。

　　由於該技術有較高的技術和資金門檻，主要是國內外知名廠商在採用，國外主要代錶廠商是Netscreen，國內主要代錶廠商為天融信、網御神州。

• 網路處理器架構

　　由於網路處理器所使用的微碼編寫有一定技術難度，難以實現產品的最優性能，因此網路處理器架構的防火牆產品難以占有大量的市場份額。

　　防火牆配置有三種：Dual-homed方式、Screened- host方式和Screened-subnet方式。

　　Dual-homed方式最簡單。 Dual-homedGateway放置在兩個網路之間，這個Dual-omedGateway又稱為bastionhost。這種結構成本低，但是它有單點失敗的問題。這種結構沒有增加網路安全的自我防衛能力，而它往往是受“黑客”攻擊的首選目標，它自己一旦被攻破，整個網路也就暴露了。

　　Screened-host方式中的Screeningrouter為保護 Bastionhost的安全建立了一道屏障。它將所有進入的信息先送往Bastionhost，並且只接受來自Bastionhost的數據作為出去的數據。這種結構依賴Screeningrouter和Bastionhost，只要有一個失敗，整個網路就暴露了。

　　Screened-subnet包含兩個Screeningrouter和兩個 Bastionhost。在公共網路和私有網路之間構成了一個隔離網，稱之為”停火區”（DMZ，即 DemilitarizedZone）,Bastionhost放置在”停火區”內。這種結構安全性好，只有當兩個安全單元被破壞後，網路才被暴露，但是成本也很昂貴。

• 第一代防火牆

　　第一代防火牆技術幾乎與路由器同時出現，採用了包過濾（Packet filter）技術。下圖表示了防火牆技術的簡單發展歷史。

• 第二、三代防火牆

　　1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火牆，即電路層防火牆，同時提出了第三代防火牆——應用層防火牆（代理防火牆）的初步結構。

• 第四代防火牆

　　1992年，USC信息科學院的BobBraden開發出了基於動態包過濾（Dynamic packet filter）技術的第四代防火牆，後來演變為目前所說的狀態監視（Stateful inspection）技術。1994年，以色列的CheckPoint公司開發出了第一個採用這種技術的商業化的產品。

• 第五代防火牆

　　1998年，NAI公司推出了一種自適應代理（Adaptive proxy）技術，併在其產品Gauntlet Firewall for NT中得以實現，給代理類型的防火牆賦予了全新的意義，可以稱之為第五代防火牆。

• 一體化安全網關UTM

　　隨著萬兆UTM的出現，UTM代替防火牆的趨勢不可避免。在國際上，飛塔公司高性能的UTM占據了一定的市場份額，國內，啟明星辰的高性能UTM則一直領跑國內市場。

• 防火牆就是一種過濾塞（目前你這麼理解不算錯），你可以讓你喜歡的東西通過這個塞子，別的玩意都統統過濾掉。在網路的世界里，要由防火牆過濾的就是承載通信數據的通信包。

　　天下的防火牆至少都會說兩個詞：Yes或者No。直接說就是接受或者拒絕。最簡單的防火牆是乙太網橋。但幾乎沒有人會認為這種原始防火牆能管多大用。大多數防火牆採用的技術和標準可謂五花八門。這些防火牆的形式多種多樣：有的取代系統上已經裝備的 TCP/IP協議棧；有的在已有的協議棧上建立自己的軟體模塊；有的乾脆就是獨立的

　　一套操作系統。還有一些應用型的防火牆只對特定類型的網路連接提供保護（比如SMTP或者HTTP協議等）。還有一些基於硬體的防火牆產品其實應該歸入安全路由器一類。以上的產品都可以叫做防火牆，因為他們的工作方式都是一樣的：分析出入防火牆的數據包，決定放行還是把他們扔到一邊。

　　所有的防火牆都具有IP地址過濾功能。這項任務要檢查IP包頭，根據其IP源地址和目標地址作出放行/丟棄決定。看看下麵這張圖，兩個網段之間隔了一個防火牆，防火牆的一端有台UNIX電腦，另一邊的網段則擺了台PC客戶機。

　　當PC客戶機向UNIX電腦發起telnet請求時，PC的telnet客戶程式就產生一個TCP包並

　　把它傳給本地的協議棧準備發送。接下來，協議棧將這個TCP包“塞”到一個IP包里，然後通過PC機的TCP/IP棧所定義的路徑將它發送給UNIX電腦。在這個例子里，這個IP包必須經過橫在PC和UNIX電腦中的防火牆才能到達UNIX電腦。

　　現在我們“命令”（用專業術語來說就是配製）防火牆把所有發給UNIX電腦的數據包都給拒了，完成這項工作以後，“心腸”比較好的防火牆還會通知客戶程式一聲呢！既然發向目標的IP數據沒法轉發，那麼只有和UNIX電腦同在一個網段的用戶才能訪問UNIX電腦了。

　　還有一種情況，你可以命令防火牆專給那台可憐的PC機找茬，別人的數據包都讓過就它不行。這正是防火牆最基本的功能：根據IP地址做轉發判斷。但要上了大場面這種小伎倆就玩不轉了，由於黑客們可以採用IP地址欺騙技術，偽裝成合法地址的電腦就可以穿越信任這個地址的防火牆了。不過根

　　據地址的轉發決策機制還是最基本和必需的。另外要註意的一點是，不要用DNS主機名建立過濾表，對DNS的偽造比IP地址欺騙要容易多了。

• 伺服器TCP/UDP 埠過濾

　　僅僅依靠地址進行數據過濾在實際運用中是不可行的，還有個原因就是目標主機上往往運行著多種通信服務，比方說，我們不想讓用戶採用 telnet的方式連到系統，但這絕不等於我們非得同時禁止他們使用SMTP/POP郵件伺服器吧？所以說，在地址之外我們還要對伺服器的TCP/ UDP埠進行過濾。

　　比如，預設的telnet服務連接埠號是23。假如我們不許PC客戶機建立對UNIX電腦（在這時我們當它是伺服器）的telnet連接，那麼我們只需命令防火牆檢查發送目標是UNIX伺服器的數據包，把其中具有23目標埠號的包過濾就行了。這樣，我們把IP地址和目標伺服器TCP/UDP埠結合起來不就可以作為過濾標準來實現相當可靠的防火牆了嗎？不，沒這麼簡單。

• 客戶機也有TCP/UDP埠

　　TCP/IP是一種端對端協議，每個網路節點都具有唯一的地址。網路節點的應用層也是這樣，處於應用層的每個應用程式和服務都具有自己的對應“地址”，也就是埠號。地址和埠都具備了才能建立客戶機和伺服器的各種應用之間的有效通信聯繫。比如，telnet伺服器在埠23偵聽入站連接。同時telnet客戶機也有一個埠號，否則客戶機的IP棧怎麼知道某個數據包是屬於哪個應用程式的呢？

　　由於歷史的原因，幾乎所有的TCP/IP客戶程式都使用大於1023的隨機分配埠號。只有 UNIX電腦上的root用戶才可以訪問1024以下的埠，而這些埠還保留為伺服器上的服務所用。所以，除非我們讓所有具有大於1023埠號的數據包進入網路，否則各種網路連接都沒法正常工作。

　　這對防火牆而言可就麻煩了，如果阻塞入站的全部埠，那麼所有的客戶機都沒法使用網路資源。因為伺服器發出響應外部連接請求的入站（就是進入防火牆的意思）數據包都沒法經過防火牆的入站過濾。反過來，打開所有高於1023的埠就可行了嗎？也不盡然。由於很多服務使用的埠都大於1023，比如X client、基於RPC的NFS服務以及為數眾多的非UNIX IP產品等（NetWare/IP）就是這樣的。那麼讓達到1023埠標準的數據包都進入網路的話網路還能說是安全的嗎？連這些客戶程式都不敢說自己是足夠安全的。

• 雙向過濾

　　OK，咱們換個思路。我們給防火牆這樣下命令：已知服務的數據包可以進來，其他的全部擋在防火牆之外。比如，如果你知道用戶要訪問Web伺服器，那就只讓具有源埠號80的數據包進入網路：

　　不過新問題又出現了。首先，你怎麼知道你要訪問的伺服器具有哪些正在運行的埠號呢？象HTTP這樣的伺服器本來就是可以任意配置的，所採用的埠也可以隨意配置。如果你這樣設置防火牆，你就沒法訪問哪些沒採用標準埠號的的網路站點了！反過來，你也沒法保證進入網路的數據包中具有埠號80的就一定來自Web伺服器。有些黑客就是利用這一點製作自己的入侵工具，並讓其運行在本機的80埠！

• 檢查ACK位

　　源地址我們不相信，源埠也信不得了，這個不得不與黑客共舞的瘋狂世界上還有什麼值得我們信任呢？還好，事情還沒到走投無路的地步。對策還是有的，不過這個辦法只能用於TCP協議。

　　TCP是一種可靠的通信協議，“可靠”這個詞意味著協議具有包括糾錯機制在內的一些特殊性質。為了實現其可靠性，每個TCP連接都要先經過一個“握手”過程來交換連接參數。還有，每個發送出去的包在後續的其他包被髮送出去之前必須獲得一個確認響應。但並不是對每個TCP包都非要採用專門的ACK包來響應，實際上僅僅在TCP包頭上設置一個專門的位就可以完成這個功能了。所以，只要產生了響應包就要設置ACK位。連接會話的第一個包不用於確認，所以它就沒有設置ACK位，後續會話交換的TCP包就要設置ACK位了。

　　舉個例子，PC向遠端的Web伺服器發起一個連接，它生成一個沒有設置ACK位的連接請求包。當伺服器響應該請求時，伺服器就發回一個設置了ACK位的數據包，同時在包里標記從客戶機所收到的位元組數。然後客戶機就用自己的響應包再響應該數據包，這個數據包也設置了ACK位並標記了從伺服器收到的位元組數。通過監視ACK位，我們就可以將進入網路的數據限制在響應包的範圍之內。於是，遠程系統根本無法發起TCP連接但卻能響應收到的數據包了。

　　這套機制還不能算是無懈可擊，簡單地舉個例子，假設我們有台內部Web伺服器，那麼埠80就不得不被打開以便外部請求可以進入網路。還有，對UDP包而言就沒法監視ACK位了，因為UDP包壓根就沒有ACK位。還有一些TCP應用程式，比如 FTP，連接就必須由這些伺服器程式自己發起。

• FTP帶來的困難

　　一般的Internet服務對所有的通信都只使用一對埠號，FTP程式在連接期間則使用兩對埠號。第一對埠號用於FTP的“命令通道”提供登錄和執行命令的通信鏈路，而另一對埠號則用於FTP的“數據通道”提供客戶機和伺服器之間的文件傳送。

　　在通常的FTP會話過程中，客戶機首先向伺服器的埠21（命令通道）發送一個TCP連接請求，然後執行LOGIN、DIR等各種命令。一旦用戶請求伺服器發送數據，FTP伺服器就用其20埠 (數據通道)向客戶的數據埠發起連接。問題來了，如果伺服器向客戶機發起傳送數據的連接，那麼它就會發送沒有設置ACK位的數據包，防火牆則按照剛纔的規則拒絕該數據包同時也就意味著數據傳送沒戲了。通常只有高級的、也就是夠聰明的防火牆才能看出客戶機剛纔告訴伺服器的埠，然後才許可對該埠的入站連接。

• UDP埠過濾

　　好了，現在我們回過頭來看看怎麼解決UDP問題。剛纔說了，UDP包沒有ACK位所以不能進行 ACK位過濾。UDP 是發出去不管的“不可靠”通信，這種類型的服務通常用於廣播、路由、多媒體等廣播形式的通信任務。NFS、DNS、WINS、NetBIOS-over- TCP/IP和 NetWare/IP都使用UDP。

　　看來最簡單的可行辦法就是不允許建立入站UDP連接。防火牆設置為只許轉發來自內部介面的 UDP包，來自外部介面的UDP包則不轉發。現在的問題是，比方說，DNS名稱解析請求就使用UDP，如果你提供DNS服務，至少得允許一些內部請求穿越防火牆。還有IRC這樣的客戶程式也使用UDP，如果要讓你的用戶使用它，就同樣要讓他們的UDP包進入網路。我們能做的就是對那些從本地到可信任站點之間的連接進行限制。但是，什麼叫可信任！如果黑客採取地址欺騙的方法不又回到老路上去了嗎？

　　有些新型路由器可以通過“記憶”出站UDP包來解決這個問題：如果入站UDP包匹配最近出站 UDP包的目標地址和埠號就讓它進來。如果在記憶體中找不到匹配的UDP包就只好拒絕它了！但是，我們如何確信產生數據包的外部主機就是內部客戶機希望通信的伺服器呢？如果黑客詐稱DNS伺服器的地址，那麼他在理論上當然可以從附著DNS的UDP埠發起攻擊。只要你允許DNS查詢和反饋包進入網路這個問題就必然存在。辦法是採用代理伺服器。

　　所謂代理伺服器，顧名思義就是代表你的網路和外界打交道的伺服器。代理伺服器不允許存在任何網路內外的直接連接。它本身就提供公共和專用的DNS、郵件伺服器等多種功能。代理伺服器重寫數據包而不是簡單地將其轉發了事。給人的感覺就是網路內部的主機都站在了網路的邊緣，但實際上他們都躲在代理的後面，露面的不過是代理這個假面具。

　　隨著網路技術的不斷發展，防火牆相關產品和技術也在不斷進步。

（1）防火牆的產品發展趨勢

　　目前，就防火牆產品而言，新的產品有：智能防火牆、分散式防火牆和網路產品的系統化應用等。

　　智能防火牆：在防火牆產品中加入人工智慧識別技術，不但提高防火牆的安全防範能力，而且由於防火牆具有自學習功能，可以防範來自網路的最新型攻擊。

　　分散式防火牆：一種全新的防火牆體繫結構。網路防火牆、主機防火牆和管理中心是分散式防火牆的構成組件。傳統防火牆實際上是在網路邊緣上實現防護的防火牆，而分散式防火牆則在網路內部增加了另外一層安全防護。分散式防火牆的優點有：支持移動計算；支持加密和認證功能，與網路拓撲無關等。

　　網路產品的系統化應用：主要是指某些廠商的安全產品直接與防火牆進行融合，打包銷售。另外，有些廠商的產品之間雖然各自獨立，當各個產品之間可以進行通信。

（2）防火牆的技術發展趨勢

　　包過濾技術作為防火牆技術中最核心的技術之一，自身具有比較明顯的缺點：不具備身份驗證機制和用戶角色配置功能。因此，一些產品開發商就將AAA認證系統集成到防火牆中，確保防火牆具備支持基於用戶角色的安全策略功能。多級過濾技術就是在防火牆中設置多層過濾規則。在網路層，利用分組過濾技術攔截所有假冒的IP源地址和源路由分組；根據過濾規則，傳輸層攔截所有禁止出/入的協議和數據包；在應用層，利用FTP、SMTP等網關對各種Internet的服務進行監測和控制。

　　綜合來講，上述技術都是對已有防火牆技術的有效補充，是提升已有防火牆技術的彌補措施。

（3）防火牆的體繫結構發展趨勢

　　隨著軟硬體處理能力、網路帶寬的不斷提升，防火牆的數據處理能力也在得到提升。尤其近幾年多媒體流技術（線上視頻）的發展，要求防火牆的處理時延必須越來越小。基於以上業務需求，防火牆製造商開發了基於網路處理器和基於ASIC(ApplicationSpecificIntegratedCircuits,專用集成電路)的防火牆產品。基於網路處理器的防火牆本質上還是依賴於軟體系統的解決方案，因此軟體性能的好壞直接影響防火牆的性能。而基於ASIC的防火牆產品具有定製化、可編程的硬體晶元以及與之相匹配的軟體系統，因此性能的優越性不言而喻，可以很好地滿足客戶對系統靈活性和高性能的要求

　　在證券行業，防火牆是指通過行政規定和劃分、內部監控、IT系統等手段防止各部門之間出現有損客戶利益的利益衝突事件。

　　例如在投資銀行內部，負責公司上市融資的投資銀行部門與經紀和研究部門，以及經紀和研究部門與資產管理部門之間就設有防火牆，不同部門之間的核心客戶和工作信息不能相互透露。

　　例如在投資銀行負責某公司上市或併購工作時若有經紀部門的研究員參與，該研究員就可獲得內幕信息，並極有可能透露給個別重要客戶從中漁利，這樣其他投資者利益就有可能遭受損失。雖然各家投資銀行都設有嚴格的防火牆規定，但合謀的事件和誘惑仍有發生，如果沒有外部法律法規的嚴格監督，僅靠公司內控很難避免利益衝突。