從最簡單的分組過濾防火墻到應用層網關，自誕生之日開始，防火墻日益承擔起越來越多的網絡安全角色。近年來，一項創新的防火墻技術正廣泛的獲得應用，這就是被稱為深度包檢測的DIP（Deep Packet Inspection）技術。

　　歷史回顧

　　在深入了解深度包檢測技術之前，我們首先來回顧一下防火墻檢測技術發展的歷史。這些檢測技術并沒有隨著科技的前進而消失。相反，正是以這些技術為基礎，才發展出了更多先進的功能元素。

　　最早出現并獲得廣泛應用的分組過濾式防火墻可以被稱為第一代防火墻。最基本的分組過濾防火墻會根據第三層的參數（如源IP地址和目標IP地址）檢查通過網絡的數據包，再由內建在防火墻中的分組過濾規則依據這些參數來確定哪些數據包被放行，哪些數據包被阻隔。之后又出現了應用層網關防火墻，這種防火墻經常被稱為基于代理服務器的防火墻，因為它會代表各種網絡客戶端執行應用層連接，即提供代理服務。應用層網關的工作方式與分組過濾技術有很大的不同，其所有訪問都在應用層（OSI模型的第七層）中控制，并且也沒有任何網絡客戶端能直接與服務端進行通信，如圖1所示。

　　而在目前，得到最廣泛應用的主流過濾技術是狀態檢測（Stateful Inspection）。它的工作方式類似于分組過濾防火墻，只是采用了更復雜的訪問控制算法。狀態檢測型防火墻和分組過濾防火墻實質上都是通過控制決策來提供安全保護的，只是狀態檢測型防火墻除了可以利用第三層網絡參數執行決策之外，還可以利用網絡連接及應用服務的各種狀態來執行決策。另外，所執行的決策也不僅限于數據包的放行與阻隔，類似加密這樣的處理也可以作為一種控制決策被執行，如圖2所示。

　　狀態檢測型防火墻不僅可以根據第三層參數決定有關信息傳輸是放行還是拒絕，還能夠理解連接的當前狀態（例如相關連接是處于建立階段還是數據傳輸階段）。防火墻處理的所有數據傳輸都會被傳送到一個狀態檢測引擎，其中匯集了相應的訪問規則。

　　通過維護一個連接狀態表，標識出通過防火墻的每條活動連接以及與之關聯的第三層參數。如果連接狀態表中確實含有一條連接的記錄，狀態檢測引擎才允許該連接的返回信息通過。而且在連接建立之后，防火墻可以通過檢查TCP順序號這樣更高級的連接屬性，來驗證相關的信息傳輸確實與基本的第三層參數匹配，是合法且沒有欺詐的。

　　就狀態檢測型防火墻與應用層網關相比較而言，由于狀態檢測引擎了解應用層的情況，因此狀態檢測型防火墻所具有的安全保護水平與應用層網關基本相同，且狀態檢測型防火墻更加靈活，比應用層網關具有更好的擴展能力。因為它可以在應用程序一級保證通信的完整性，而不需要代表客戶機/服務器在連接的兩端對所有連接進行代理處理。所以說，利用狀態檢測技術設計的防火墻既提供了分組過濾防火墻的處理速度和靈活性，又兼具應用層網關理解應用程序狀態的能力與高度的安全性。

　　深度包檢測技術綜述

　　通常，深度包檢測技術深入檢查通過防火墻的每個數據包及其應用載荷。雖然只檢測包頭部分是一種更加經濟的方式，但是很多惡意行為可能隱藏在數據載荷中，通過防御邊界在安全體系內部產生嚴重的危害。因為數據載荷中可能充斥著垃圾郵件、廣告視頻以及企業所不欣賞的P2P傳輸，而各種電子商務程序的HTML和XML格式數據中也可能夾帶著后門和木馬程序在網絡節點之間交換。所以，在應用形式及其格式以爆炸速度增長的今天，僅僅依照數據包的第三層信息決定其是否準入，實在無法滿足安全的要求。

　　深度包檢測引擎以基于指紋匹配、啟發式技術、異常檢測以及統計學分析等技術的規則集，決定如何處理數據包。舉例來說，檢測引擎將數據包載荷中的數據與預先定義的攻擊指紋進行對比，以判定數據傳輸中是否含有惡意攻擊行為，同時引擎利用已有的統計學數據執行模式匹配，輔助這種判斷的執行。利用深度包檢測技術可以更有效的辨識和防護緩沖區溢出攻擊、拒絕服務攻擊、各種欺騙性技術以及類似尼姆達這樣的蠕蟲病毒。從本質上來講，深度包檢測將入侵檢測（IDS）功能融入防火墻當中，從而使我們有條件創建一種一體化的安全設備，如圖3所示。

　　近來，可編程ASIC技術的發展以及更有效的規則算法的出現，大大增強了深度包檢測引擎的執行能力，讓這項技術在性能方面的壓力得到了緩解。而將防火墻與入侵檢測系統的功能封裝在單個設備中也可以使得管理方面的負擔得到減輕，所以應用了深度包檢測技術的產品受到了相當一部分管理員的好評。一些主要的防火墻供應商，包括CheckPoint、Cisco、NetScreen、Symantec，都在不斷增加其防火墻產品中的應用數據分析功能。

　　反思

　　我們在為深度包檢測技術感到鼓舞的同時，也不能忘記這個世界上并不存在完美的技術。現在應用深度包檢測的產品通常都是一體化的安全設備，相比之下，傳統防火墻和入侵檢測產品的一個重要優勢在于不會因為單個安全組件的癱瘓導致整個網絡處于無保護狀態。同時如果將越多的功能集中在單一設備中，我們就越把自己限制于單個產品供應商。

　　這些可能會使我們在很大程度上喪失靈活性。對于具有高度動態性特征的安全事務，這可不是個可以忽視的問題。另外，我們的安全陣線已經處于一種非常復雜的境地，在我們的安全邊界，已經充斥著各種傳統的防火墻和入侵檢測設備以及各種Honeypot產品，深度包檢測技術的融合能夠真正降低這種復雜性還是更進一步惡化現狀，還需要我們認真面對。

　　最后，盡管目前深度包檢測技術的性能獲得了可觀的提升，但是在同等硬件條件下，檢測內容多的任務必定要比檢測內容少的任務耗費時間，所以相對于只檢測包頭的傳統檢測技術，深入包檢測技術的應用應該更有目的性，而不應該被當作一種“萬靈藥”。


　　圖1 防火墻檢測原理


　　圖2 狀態檢測


　　圖3 深度包檢測