代理技术的优缺点优点1缺点22.4.4双宿主主机3.3.1双宿主主机防火墙实际上就是一台具有安全控制功能的双网卡堡垒主机。两块网卡中的一块负责连接内部网络，另一块负责连接外部网络。内网主机可登录双宿主主机，使用其提供的网络服务，而双宿主主机负责维护用户账户数据库。外网主机也可使用双宿主主机提供的某些网络服务。若网络服务被安全策略允许，则内部用户和外部用户就可通过共享缓存共享数据以实现信息交换，但绝对不允许内部用户与外部用户直接进行连接。双宿主主机防火墙的优点是：易于实现网络安全策略、成本较低。双宿主主机防火墙的缺点是：用户帐户不安全；用户账户数据库管理维护困难；用户账户数据的频繁存取资源耗费大，降低了系统的稳定性和可靠性；允许用户登录到防火墙主机上威胁到防火墙系统的安全。下图为双宿主主机防火墙的示意图：双宿主网关3.3.2双宿主网关无需用户登录至防火墙主机，而是在防火墙上安装各种代理服务器。内网主机要访问外网时，只需将请求发送至相应的代理服务器，通过过滤规则的检测并获得允许后，再由代理服务器代为转发至外网指定主机。而外网主机所有对内网的请求都由代理服务接收并处理，规则允许的外部连接由相应的代理服务器转发至内网目标主机，规则不允许的外部连接则被拒绝。双宿主网关防火墙的优点是：无用户账户数据库，管理难度小、系统风险低；代理服务器技术使得防火墙提供的服务具有良好的可扩展性；屏蔽了内网主机，阻止了信息的泄露。双宿主网关防火墙的缺点是：存在单失效点，防火墙配置复杂；防火墙主机本身的性能是影响系统整体性能的瓶颈；灵活性较差。下图为双宿主网关防火墙的示意图：多堡垒主机3.6.1在屏蔽子网中使用多台堡垒主机扮演不同的角色，可同时为多个用户提供多种不同的网络服务，通过热备份机制增强了堡垒主机的可用性，此外还可隔离不同安全级别的数据和服务器。下图描述了多堡垒主机防火墙的结构：合并内部路由器和外部路由器3.6.2这种方案是屏蔽子网的一种变形。它将屏蔽子网中的内部路由器和外部路由器的功能合并，只使用一台过滤路由器来实现。这台过滤路由器最少要有三个接口：一个接口连接内网，另一个接口连接外网，还有一个接口连接DMZ。这种方案的最大的优点是节约了路由器的成本，但是也存在单路由器安全性低的问题——一旦该路由器被入侵者攻破，整个内部网络将直接面对入侵者。下图描述了合并内部路由器和外部路由器防火墙的结构：合并外部路由器与堡垒主机3.6.3这种防火墙是将屏蔽子网防火墙的外部路由器与堡垒主机合并而来，其功能等价于屏蔽子网。这么做的原因是外部路由器只执行很弱的安全过滤功能，所以可以用堡垒主机来替代。这种方案节约了外部路由器的成本，在功能上也没有下降，但是堡垒主机的安全性问题必须要着重考虑。左图描述了合并外部路由器与堡垒主机防火墙的结构：多外部路由器3.6.4这种防火墙可以实现对具有多个接入点的用户网络进行安全防护。不同的外部路由器连接不同的外部网络。下图描述了多外部路由器屏蔽子网防火墙的结构：多DMZ3.6.5如果用户网络不但需要多点接入，而且还需要和不同的外部网络交换安全等级不同的数据，或者用户不希望被任何人探知自己的数据流向，那么最好的办法还是使用多个屏蔽子网。这种类型的防火墙叫做多DMZ防火墙。这种防火墙为用户提供了很好的策略可用性和服务可用性，并能增强系统的稳固性。但是具有配置复杂、管理困难的缺陷。左图描述了这种复杂的多DMZ防火墙的结构：5.4防火墙本身的多功能化，变被动防御为主动防御用户在进行防火墙的选择时，出于降低复杂性和节约成本的目的，往往要求防火墙能够支持更多的功能。随着各种功能模块加入进防火墙，防火墙将从目前被动防护设备发展为可以智能、动态地保护网络的主动安全设备。强大的审计与自动日志分析动能5.5随着安全管理工具不断完善，针对可疑行为的审计与自动安全日志分析工具将成为防火墙产品必不可少的组成部分。它们可以提供对潜在的威胁和攻击行为的早期预警。日志的自动分析功能还可以帮助管理员及时、有效地发现系统中存的安全漏洞，迅速调整安全策略以适应网络的态势，此外它还可以为自适应、个性化网络的建设提供重要的数据。硬件化5.6为了能够高速地执行更多的功能，防火墙必须实现硬件化。硬件化评判的标准是看在数据转发控制过程是由软件完成还是硬件完成。硬件化的系统使用的是专用的芯片级处理机制，主要有基于ASIC和基于网络处理器（NP）两种方式。采用ASIC技术的防火墙往往设计了专门的数据包处理流水线，对存储器等资源进行了优化。但其具有开发成本