防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合，它可以说是当今网络安全领域上最为成熟的技术，也是市场上最主要的网络安全产品。
    
    防火墙技术的发展主要有两大趋势：
    
    一、改进防火墙系统结构，巩固内网的通信和安全
    
    网络技术的日新月异的确带给人们越来越多的便捷，然而却使得传统的防火墙技术面临新的挑战。
    
    挑战一：虚拟专用网(vpn)的引入
    
    随着企业规模逐渐扩大，远程用户、远程办公人员、分支机构、合作伙伴也在不断增多，于是就需要能通过公共网络来建立自己的专用网络以此来满足业务需求。因此虚拟专用网（vpn）便大行其道，它通过对网络数据的封包和加密传输，在公用网络上传输私有数据，形成一种逻辑上的专用网络。它能向用户提供一般专用网络所具有的功能，但本身却不是一个独立的物理网络。为了保护vpn上的远程主机和vpn外部主机的安全通信，传统的处理方法是将远程主机和外部主机的通信依然通过防火墙隔离来控制接入，而远程主机和防火墙之间采用“隧道”技术保证安全性，这种方法使原本可以直接通信的双方必须绕经防火墙，不仅效率低而且增加了防火墙过滤规则设置的难度。
    
    挑战二：内部网络的安全威胁日益加大
    
    提起网络安全，人们首先想到的总是黑客攻击和病毒危害。然而，来自企业网络内部的威胁却远远大于来自外网的攻击。FBI和CSI曾对484家公司进行了网络安全专项调查，调查结果显示：超过85%的安全威胁来自公司内部、有16%来自内部未授权的存取，有14%来自专利信息被窃取，有12%来自内部人员的财务欺骗，而只有5%是来自黑客的攻击；在损失金额上，由于内部人员泄密导致了60，565，000美元的损失，是黑客所造成损失的16倍，病毒所造成损失的12倍。这组数据充分说明了内部人员泄密的严重危害。另外，无线上网设备的接入也是导致内网结构不稳定的因素之一。传统边界防火墙（Perimeter Firewall）用于限制被保护企业内部网络与外部网络（通常是互联网）之间相互进行信息存取、传递操作，它所处的位置在内部网络与外部网络之间。它把内部网络一端的用户看成是可信任的，而外部网络一端的用户则都被作为潜在的攻击者来对待。这样的话就无法对内部网络实现有效的保护，除非对内网每一台主机都安装防火墙，然而这显然是不可能的，一方面降低通信效率，另一方面也不够经济。
    
    分布式防火墙技术
    
    一种新兴起的防火墙技术——分布式防火墙技术（Distributed Firewalls）能够克服传统防火墙的欠缺。
    
    分布式防火墙是一种主机驻留式的安全系统，负责对网络边界、各子网和网络内部各节点之间的安全防护，它的防火墙体系结构由网络防火墙、主机防火墙、中心管理这三部分所组成。它是以主机为保护对象，它的设计理念是主机以外的任何用户访问都是不可信任的，都需要进行过滤。当然在实际应用中，也不是要求对网络中每对台主机都安装这样的系统，这样会严重影响网络的通信性能。它通常用于保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。
    
    目前国外的网络著名网络设备开发商在分布式防火墙技术方面更加先进。有些提供纯软件形式的产品，比如安软的DFW、中洲的网警（netcop）分布式防火墙；还有一些采用“软件+硬件”形式，比如3com 、Cisco、美国网络安全系统公司的嵌入式防火墙产品等。
    
    以DFW分布式防火墙为例，可以很明显的看出分布式防火墙的优势所在：
   
    表一：DFW的主要功能一览
    

    
    表二：DFW与其他防火墙产品比较
    

    
    二、防火墙检测数据流技术进一步发展
    
    黑客击穿防火墙的手段
    
    防火墙是抵挡黑客攻击内网的第一道防线。防火墙的功能主要有封包过滤、 状态检视、应用程序代理。所有网络传递的封包藉由防火墙硬件配置之两张网卡传递与进行过滤，包括接受、NAT转址、拒绝三种资料流过滤动作。 然而黑客面临这样的阻挡过滤，却并不是束手无策的。他们常常能伪造合法的IP穿透防火墙、瘫痪防火墙响应服务方式（DOS 攻击）或者将信息数据包分段后安插合法的信息包来欺骗放火墙进行攻击，甚至还可以用木马攻击。
    
    深度检测防火墙技术
    
    目前在防止黑客攻击上，使用最广泛的是状态检测防火墙，状态检测防火墙工作于网络层，其判断允许还是禁止数据流的依据不仅仅是依靠源IP地址，目的IP地址，源端口，目的端口和通讯协议等数据包信息，而是基于会话信息做出决策的。 状态检测防火墙验证进来的数据包时，判断当前数据包是否符合先前允许的会话，并在状态表中保存这些信息。状态检测防火墙还能阻止基于异常TCP的网络层的攻击行为。网络设备，比如路由器，会将数据包分解成更小的数据帧，因此，状态检测设备，通常需要进行IP数据帧的重组，按其原来顺序组装成完整的数据包。
    
    但是在当初设计状态检测技术时，并没有专门考虑WEB应用程序的攻击，在应用格式以爆炸速度增长的今天，数据载荷中可能充斥着垃圾邮件、广告视频以及企业所不欣赏的P2P传输，而各种电子商务程序的HTML和XML格式数据中也可能夹带着后门和木马程序在网络节点之间交换。IT权威机构Gartner认为，虽然应用程序代理不是阻止未来黑客攻击的关键，但是防火墙应能分辨并阻止数据包的恶意行为，包检测技术需要有新的发展。于是，新一代的深度检测防火墙技术（deep packet inspection）便应运而生。
    
    深度检测防火墙将状态检测和应用防火墙技术结合在一起，以处理应用程序的流量，防范目标系统免受各种复杂的攻击。结合了状态检测的所有功能，深度检测防火墙能够对数据流量迅速完成网络层级别的分析，并做出访问控制决；对于允许的数据流，根据应用层级别的信息，对负载做出进一步的决策。深度包检测技术可以更有效的辨识和防护缓冲区溢出攻击、拒绝服务攻击、各种欺骗性技术以及类似尼姆达这样的蠕虫病毒。从本质上来讲，深度包检测将入侵检测（IDS）功能融入防火墙当中，从而使我们有条件创建一种一体化的安全设备。
    
    近来，可编程ASIC技术的发展以及更有效的规则算法的出现，大大增强了深度包检测引擎的执行能力，让这项技术在性能方面的压力得到了缓解。而将防火墙与入侵检测系统的功能封装在单个设备中也可以使得管理方面的负担得到减轻，所以应用了深度包检测技术的产品受到了相当一部分管理员的好评。一些主要的防火墙供应商，包括CheckPoint、Cisco、NetScreen、Symantec，都在不断增加其防火墙产品中的应用数据分析功能。