現(xiàn)在的黑客越來越傾向于針對(duì)應(yīng)用程序的攻擊，那些認(rèn)為通過防火墻進(jìn)行訪問控制就可以抵御絕大部分攻擊的想法已經(jīng)不適合如今的網(wǎng)絡(luò)安全現(xiàn)狀了。越來越多的黑客不在乎防火墻關(guān)閉了多少端口，他們的目標(biāo)直指防火墻一般都打開的端口——80和443等，比如通過HTTP攜帶惡意數(shù)據(jù)進(jìn)行跨站腳本攻擊等，或者將P2P通信應(yīng)用在80端口上或干脆直接封包在HTTP協(xié)議中，而黑客完全可以通過未經(jīng)授權(quán)的P2P通信進(jìn)入企業(yè)網(wǎng)絡(luò)內(nèi)部。
顯然，作為邊界安全網(wǎng)關(guān)產(chǎn)品，防火墻僅僅提供端口級(jí)的訪問控制已經(jīng)不能解決上述問題。防火墻必須要在應(yīng)用層數(shù)據(jù)分析上邁出一大步。
盡管在這次測(cè)試中，我們沒有對(duì)應(yīng)用層防護(hù)進(jìn)行更多的測(cè)試，但是，通過對(duì)P2P通信控制能力的考查，已經(jīng)可以對(duì)這些產(chǎn)品在應(yīng)用層的分析程度上有一個(gè)基本認(rèn)識(shí)。正可謂“落葉而知秋”。
不管是“安全網(wǎng)關(guān)”還是“應(yīng)用智能”，他們都已擺脫“地址+端口”的羈絆，開始著眼于應(yīng)用數(shù)據(jù)的內(nèi)部，只不過程度不同。有人認(rèn)為應(yīng)用層數(shù)據(jù)的分析不應(yīng)該由防火墻來完成。可是，對(duì)于來自外網(wǎng)的威脅，有哪個(gè)用戶愿意買多臺(tái)功能不同的設(shè)備將它們組合起來？以前，用戶更多的是迫于無奈。
現(xiàn)在有了這類完全集成或部分集成的產(chǎn)品。可是，人們很擔(dān)心防火墻變得更加“聰明”后的性能問題。
談到性能，大家應(yīng)該從多個(gè)角度去考察，僅僅看“permit any”情況下、64字節(jié)的UDP轉(zhuǎn)發(fā)性能是片面的。防火墻添加了規(guī)則后表現(xiàn)怎么樣？不同包長(zhǎng)混合、UDP和TCP連接混合后的表現(xiàn)怎么樣？防御攻擊時(shí)的性能怎么樣？這些都是衡量防火墻性能的指標(biāo)，而其中有些參數(shù)和防火墻是否加入了比較多的應(yīng)用層“智能”并無因果關(guān)系。
從另一個(gè)角度說，有的“一體化”產(chǎn)品的性能也的確需要加強(qiáng)，但我們看到，有些變得更“聰明”后的產(chǎn)品的性能也是不錯(cuò)的。
此外，不要忘了防火墻首先是一個(gè)安全產(chǎn)品。隨著黑客們的行為、網(wǎng)絡(luò)通信方式較之以前發(fā)生的變化，防火墻應(yīng)該知難而進(jìn)！我們了解到，一些傳統(tǒng)狀態(tài)檢測(cè)防火墻廠商正在開發(fā)應(yīng)用層的防護(hù)功能，有的還正與防病毒廠商合作，旨在增加邊界網(wǎng)關(guān)的防范能力。另外，一些安全網(wǎng)關(guān)也努力地向更高性能發(fā)展，在我們的這些參測(cè)廠商中，有的馬上就要推出全新的產(chǎn)品。