何去何從防火牆

　　現在的駭客越來越傾向於針對應用程式的攻擊，那些認為通過防火牆進行存取控制就可以抵禦絕大部分攻擊的想法已經不適合如今的網路安全現狀了。越來越多的駭客不在乎防火牆關閉了多少連接埠，他們的目標直指防火牆一般都開啟的連接埠——80和443等，比如通過HTTP攜帶惡意資料進行跨站指令碼攻擊等，或者將P2P通訊應用在80連接埠上或乾脆直接封包在HTTP協議中，而駭客完全可以通過未經授權的P2P通訊進入商業網路內部。

　　顯然，作為邊界安全網關產品，防火牆僅僅提供連接埠級的存取控制已經不能解決上述問題。防火牆必須要在應用程式層資料分析上邁出一大步。

　　儘管在這次測試中，我們沒有對應用程式層防護進行更多的測試，但是，通過對P2P通訊控制能力的考查，已經可以對這些產品在應用程式層的分析程度上有一個基本認識。正可謂“落葉而知秋”。

　　不管是“安全網關”還是“應用智能”，他們都已擺脫“地址+連接埠”的羈絆，開始著眼於應用資料的內部，只不過程度不同。有人認為應用程式層資料的分析不應該由防火牆來完成。可是，對於來自外網的威脅，有哪個使用者願意買多台功能不同的裝置將它們組合起來？以前，使用者更多的是迫於無奈。

　　現在有了這類完全整合或部分整合的產品。可是，人們很擔心防火牆變得更加“聰明”後的效能問題。

　　談到效能，大家應該從多個角度去考察，僅僅看“permit any”情況下、64位元組的UDP轉寄效能是片面的。防火牆添加了規則後表現怎麼樣？不同包長混合、UDP和TCP串連混合後的表現怎麼樣？防禦攻擊時的效能怎麼樣？這些都是衡量防火牆效能的指標，而其中有些參數和防火牆是否加入了比較多的應用程式層“智能”並無因果關係。

　　從另一個角度說，有的“一體化”產品的效能也的確需要加強，但我們看到，有些變得更“聰明”後的產品的效能也是不錯的。

　　此外，不要忘了防火牆首先是一個安全產品。隨著駭客們的行為、網路通訊方式較之以前發生的變化，防火牆應該知難而進！我們瞭解到，一些傳統狀態檢測防火牆廠商正在開發應用程式層的防護功能，有的還正與防病毒廠商合作，旨在增加邊界網關的防範能力。另外，一些安全網關也努力地向更高效能發展，在我們的這些參測廠商中，有的馬上就要推出全新的產品。