深度包检测技术的演进历程和技术反思

　　从最简单的分组过滤防火墙到应用层网关，自诞生之日开始，防火墙日益承担起越来越多的网络安全角色。近年来，一项创新的防火墙技术正广泛的获得应用，这就是被称为深度包检测的DIP（Deep Packet Inspection）技术。
　　历史回顾
　　在深入了解深度包检测技术之前，我们首先来回顾一下防火墙检测技术发展的历史。这些检测技术并没有随着科技的前进而消失。相反，正是以这些技术为基础，才发展出了更多先进的功能元素。
　　最早出现并获得广泛应用的分组过滤式防火墙可以被称为第一代防火墙。最基本的分组过滤防火墙会根据第三层的参数（如源IP地址和目标IP地址）检查通过网络的数据包，再由内建在防火墙中的分组过滤规则依据这些参数来确定哪些数据包被放行，哪些数据包被阻隔。之后又出现了应用层网关防火墙，这种防火墙经常被称为基于代理服务器的防火墙，因为它会代表各种网络客户端执行应用层连接，即提供代理服务。应用层网关的工作方式与分组过滤技术有很大的不同，其所有访问都在应用层（OSI模型的第七层）中控制，并且也没有任何网络客户端能直接与服务端进行通信，如图1所示。

　　图1 防火墙检测原理
　　而在目前，得到最广泛应用的主流过滤技术是状态检测（Stateful Inspection）。它的工作方式类似于分组过滤防火墙，只是采用了更复杂的访问控制算法。状态检测型防火墙和分组过滤防火墙实质上都是通过控制决策来提供安全保护的，只是状态检测型防火墙除了可以利用第三层网络参数执行决策之外，还可以利用网络连接及应用服务的各种状态来执行决策。另外，所执行的决策也不仅限于数据包的放行与阻隔，类似加密这样的处理也可以作为一种控制决策被执行，如图2所示。