本文提出了智能防火墙，这种类型的防火墙更聪明更智能，克服了传统的防火墙的“一管就死，一放就乱”的状况，修正上述防火墙的重大假设为“拒绝保证安全，放行的也要保证安全”。新的智能防火墙把“出口”的概念改变为“关口”的概念，所有经过“关口”的数据包都必须接受防火墙的检查。与传统防火墙采用的数据匹配检查的技术不同，新的智能防火墙采用人工智能识别技术来决定访问控制。智能防火墙比传统的防火墙，更安全，效率更高。

     防火墙已经被用户普遍接受，而且正在成为一个主要的网络安全设备。防火墙圈定一个保护的范围，并假定防火墙是唯一的出口，然后防火墙来决定是放行还是封锁进出的包。传统的防火墙有一个重大的理论假设，如果防火墙拒绝某些数据包的通过，则一定是安全的，因为该些包已经被丢弃。但实际上防火墙并不保证准许通过的数据包是安全的，防火墙无法判断一个正常的服务的数据包和一个恶意的数据包有什么不同，因此要求管理员来保证该包是安全的。管理员必须告诉防火墙准许通过什么，既然管理员说必须通过，那么防火墙依据你设置的规则来准许该包通过，这样管理员则必须承担策略错误的安全责任。然而，传统防火墙的这种假设对网络安全是不恰当的，安全效果也不好。把安全责任交给安全管理员，实际上就没有解决安全问题。新一代的防火墙应该加强放行数据的安全性，因为网络安全的真实需求是，既要保证安全，也必须保证应用的正常进行。

    一、传统的防火墙技术简介

　　目前的防火墙无论从技术上还是产品发展历程上，都经历了五个发展阶段。第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。第三代的防火墙准确来说，是美国国防部认为第一代和第二代的防火墙的安全性不够，希望能对应用进行检查，于是出资研制出有名的TIS防火墙套件。第四代防火墙是1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙是1998 年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义。高级应用代理（Advanced Application Proxy）的研究，克服速度和安全性之间的矛盾，可以称之为第五代防火墙。

     前五代防火墙技术有一个共同的特点，就是采用逐一匹配方法，计算量太大。包过滤是对IP包进行匹配检查，状态检测包过滤除了对包进行匹配检查外还要对状态信息进行匹配检查，应用代理对应用协议和应用数据进行匹配检查。因此，它们都有一个共同的缺陷，安全性越高，检查的越多，效率越低。用一个定律来描述，就是防火墙的安全性与效率成反比。

    二、传统防火墙遗留的主要安全问题

　　没有人怀疑防火墙在所有的安全设备采购中占据第一的位置。但传统的防火墙并没有解决网络主要的安全问题。目前网络安全的三大主要问题是，以拒绝访问（DDOS）为主要目的网络攻击，以蠕虫（Worm）为主要代表的病毒传播，和以垃圾电子邮件（SPAM）为代表的内容控制。这三大安全问题占据网络安全问题九成以上。而这三大问题，非智能防火墙都无能为力。

     根据2003年美国联邦调查局（FBI）和计算机犯罪调查机构（CSI）联合发布的报告，超过50%的被调查者承认遭受拒绝访问攻击，80%的被调查者遭受病毒的攻击。垃圾电子邮件更猖狂，IDC估计到2006年，全球每天发送的垃圾信息将超过200亿条。

     传统的防火墙能解决上述三大问题吗？答案是否定的。原因有三，一是传统防火墙的计算能力的限制。传统的防火墙是以高强度的检查为代价，检查的强度越高，计算的代价越大。二是传统防火墙的访问控制机制是一个简单的过滤机制。它是一个简单的条件过滤器，不具有智能功能，无法解决复杂的攻击。三是传统的防火墙无法区分识别善意和恶意的行为。该特征决定了传统的防火墙无法解决恶意的攻击行为。

     传统的防火墙厂商主张，这三大问题不应该由防火墙来解决。但用户调查表明，超过80％的用户，主张防火墙帮助他们解决上述三大问题。

    三、新一代的智能防火墙

　　智能防火墙是相对传统的防火墙而言的，顾名思义，更聪明更智能。很多用户非常接受智能防火墙概念，在他们的眼里，不聪明就是不可靠不安全，找个不聪明的保镖，你觉得安全吗？传统的防火墙存在的很多问题，用户往往难以理解。用户经常会问，为什么防火墙不能防止黑客的攻击？安全专家用记录的数据来分析，一眼就发现黑客的攻击，为什么防火墙不行？原因就是传统的防火墙是一个简单机制，机械的执行安全策略。

     智能防火墙从技术特征上，是利用统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的。新的数学方法，消除了匹配检查所需要的海量计算，高效发现网络行为的特征值，直接进行访问控制。由于这些方法多是人工智能学科采用的方法，因此，又称为智能防火墙。

     一个典型的例子可以说明智能防火墙对网络安全是多么的重要。传统的防火墙对包的检查，就像对人的相貌的识别，采用图像识别一样。把一个人的相貌转换为图像，对图像的每一个像素进行记忆，然后进行匹配检查。通过检查上千万个像素之后，告诉你，这是谁。人不是这样来识别相貌的。人几乎没有计算就可以实时地识别你是谁？这就是智能识别。智能防火墙无须海量计算就可以轻松找到网络行为的特征值来识别网络行为，从而轻松的执行访问控制。