1、先进的防火墙产品将网关与安全系统合二为一 , 具有以下技术与功能 。
2、双端口或三端口的结构 。新一代防火墙产品具有两个或三个独立的网卡 , 内外两个网卡可不作IP转化而串接于内部网与外部网之间,另一个网卡可专用于对服务器的安全保护 。
3、透明的访问方式 。以前的防火墙在访问方式上要么要求用户作系统登录,要么需要通过SOCKS等库路径修改客户机的应用 。新一代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率 。
4、灵活的代理系统 。代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块 。新一代防火墙采用了两种代理机制,一种用于代理从内部网络到外部网络的连接,另一种用于代理从外部网络到内部网络的连接 。前者采用网络地址转换(NAT)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决 。
5、多级的过滤技术 。为保证系统的安全性和防护水平 , 新一代防火墙采用了三级过滤措施,并辅以鉴别手段 。在 分组过滤一级 , 能过滤掉所有的源路由分组和假冒的IP源地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制 。
【防火墙技术包括】6、网络地址转换技术(NAT) 。新一代防火墙利用NAT技术能透明地对所有内部地址作转换,使外部网络无法了解内部网络的内部结构 , 同时允许内部网络使用自己定制的IP地址和专用网络 , 防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址 。
7、同时使用NAT的网络,与外部网络的连接只能由内部网络发起,极大地提高了内部网络的安全性 。NAT的另一个显而易见的用途是解决IP地址匮乏问题 。
8、Internet网关技术 。由于是直接串连在网络之中,新一代防火墙必须支持用户在Internet互连的所有服务,同时还要防止与Internet服务有关的安全漏洞 。故它要能以多种安全的应用服务器(包括FTP、 Finger、mail、Ident、News、WWW等)来实现网关功能 。为确保服务器的安全性,对所有的文件和命令均要利用改变根系统调用(chroot)作物理上的隔离 。
9、在域名服务方面,新一代防火墙采用两种独立的域名服务器,一种是内部DNS服务器,主要处理内部网络的DNS信息,另一种是外部DNS服务器 , 专门用于处理机构内部向Internet提供的部份DNS信息 。
10、在匿名FTP方面,服务器只提供对有限的受保护的部份目录的只读访问 。在WWW服务器中 , 只支持静态的网页 , 而不允许图形或CGI代码等在防火墙内运行,在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息 。SMTP与POP邮件服务器要对所有进、出防火墙的邮件作处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境,Ident服务器对用户连接的识别作专门处理 , 网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间 。