一、序言

　　随着电子商务的出现，越来越多的企业把自己的私有网与Internet相连接。许多使用Web服务或者更先进技术的人们不禁要问，我们的网络为什么会有这么多的安全漏洞？我们应先了解Internet的发展历史。

　　Internet的支持协议TCP/IP【1-1；1-5】最早出现在1979年，当时它的主要设计目的是为通过网关连接的网络提供可靠的服务。在那个时期，由于网络的规模较小，在网络上的人们相认识，安全不是大家最关心的问题。但是Internet发展到了今天，当时构造这些网络的技术仍旧使用，而这些技术包含了许多不安全的部分。由于大量的攻击被报告出来，所以安全问题成为私有网络的主要关注对象之一，也是电子商务发展的制约因素。

　　怎样才能提供安全的网络服务呢？一般的，网络管理者制订安全策略，考虑安全需求，制定哪些连接可以通过私有网络而到达Internet。到目前为止，实现这些功能的最基本的安全设备便是防火墙。下面我们首先看看防火墙的定义。

　　防火墙是用来在安全私有网络（可信任网络）和外部不可信任网络之间安全连接的一个设备或一组设备，作为私有网络和外部网络之间连接的单点存在。

旧有防火墙存在的缺点：

包过滤防火墙

　　由于包过滤是发生在IP层，只是根据IP头的内容来对IP包处理，只能利用部分基本信息来进行处理，使得安全处理所依靠的信息过于简单；包过滤是一个无状态的概念，不能根据通讯的上下文或应用的上下文来进行过滤；同时难于配置，监视和审计，具有极弱的包信息处理能力。

应用代理防火墙

　　应用代理发生在应用层，它最大的优点是有状态的，它能够利用扩展信息中的由应用程序产生的信息和由部分由通讯上下文产生的状态，具有部分的信息处理能力。但是其弱点是显而易见的：

　　受限的连接：由于不是每一个服务都需要一个代理，所以其具有不易扩展性

　　技术限制：不能提供UDP/RPC这样的服务的代理功能

　　性能低下：由于所有的实现都发生在应用层，所以相对性能较低。同时，它将操作系统和应用层的bug暴露出来。

已有的防火墙解决方案的弱点：

　　已有的防火墙类型都是早期的网络安全需求的基础之上产生的，它考虑的主要对象是单个的子网，而现在，企业广泛的使用Intranet技术，企业整个网络的安全需求与策略是统一管理，所以只依靠包过滤路由器或者堡垒主机来解决安全问题已经是不可能，它应当和策略管理，授权，认证，用户管理等等结合起来。而防火墙是安全最集中的控制点，但是它必须受其他应用的支持。

　　总而言之，已有的防火墙系统是一个静态的网络攻击防御，同时由于其对新协议和新服务的支持不能动态的扩展，所以很难提供个性化的服务，由于防火墙的最大的市场亮点在于对电子商务的全方位支持。而已有的防火墙不能做到这一点。