防火墻急速“長胖”為什么？

由于防火墻在網絡中所處的重要位置，因此，人們對防火墻可以說是寄予厚望?，F在防火墻正在不斷增加各種各樣的新功能，因此防火墻正在急劇“長胖”。

訪問控制手段不斷增加

防火墻現在正由最初的簡單IP/PORT判定控制，發展到通信報文協議頭的各部分，以及通信協議的應用層命令、用戶規則、流量控制、代理控制、地址轉換控制、連接數量控制和歷史狀態控制（狀態檢測）等。

訪問控制功能不斷增加

用戶對防火墻新的訪問控制功能不斷提出新的要求，因為這些功能在防火墻均能實現，并且還較簡單；另外在經濟上，這意味著低成本，于是在防火墻上出現了很多網絡互連的功能，如NAT、地址映射、帶寬管理、計費功能。

VPN正在成為新的亮點

VPN可以為跨公網的內部通信提供安全平臺，成為在互聯網應用中的一大亮點。防火墻首當其沖承擔了此功能，許多防火墻都可以實現此功能，并且將其作為一標準功能發布。

入侵檢測成為用戶理所當然的要求

很多用戶將安全寄托在防火墻上，自然要求防火墻能夠成功檢測對內部網絡構成威脅的各種

攻擊行為并期望阻止進一步的攻擊行為，如DoS/DDoS攻擊等。

審計是一種重要的安全措施

審計管理可以監控通信行為和完善安全策略，對入侵者還是一種有效的威懾。強大、高效而方便的審計功能在防火墻的功能發展中可演繹的內容很多，形成了形形色色的審計接口和審計形態。

防火墻自身要不斷發展，同時，還要適應已經處于運行狀態的各種類型的不同使用方案、不同結構和不同配置的網絡環境，這就使得防火墻越來越“胖”。

防火墻“胖”了好用嗎？

防火墻已經在很多方面作了巨大的努力，在功能上豐富了很多，它正承載著用戶們的眾多期望向“大而全”成長。很多網絡系統中也使用了防火墻，并進行了有效的管理，似乎防火墻正在成為網絡安全的王中之王?？墒聦嵞兀?

“五一”期間的中美黑客大戰中，大批網站被入侵，主頁被改得面目全非。作為盾牌，防火墻首當其沖。其實，之前很多用戶本把希望寄托在防火墻上，但防火墻不堪重負，似乎有辱使命。在有防火墻保護情況下，分析這次被入侵的網站,從主要的日志記錄及監控內容看，幾乎都是利用了HTTP服務本身的漏洞或脆弱性，其中使用最多的是針對Windows NT/2000的Unicode漏洞攻擊，防火墻所禁止的訪問事實上并未發現任何突破。對于Unicode攻擊，其實在防火墻上可以通過定義HTTP的URL過濾策略，讓防火墻識別HTTP通信中的URL請求來加以控制。只不過需要在防火墻上定義很多規則。

從原理上說，抵御這些攻擊在防火墻上的實現并不復雜，但在防火墻的管理上會增加大量的工作，管理者需要不斷地升級識別庫，識別庫的維護更是需要大量的工作。

對于防火墻本身，面對越來越大的識別庫，要求防火墻的性能逐漸增高，或者開始就預留較大的處理能力。但上述實現要求防火墻能在通常的包緩沖隊列中就能發現攻擊行為，而包緩沖隊列不能太長，否則對用戶而言，將表現為很長的延時，這種處理是不可行的。如病毒監測，不能在防火墻上緩存一個兆級的文件以便成功檢查并處理病毒，如果真有病毒，使用者還可能諒解，但如果最終檢查的結果為無病毒，用戶必然不能接受。

要“發威”須以防火墻為核心構建安全體系！

顯然，如果防火墻能和IDS、病毒檢測等相關安全系統聯合起來，充分發揮各自的長處，協同配合，就能共同建立一個有效的安全防范體系。簡單地說，相關專業檢測系統專責于某一類安全事件的檢測，一旦發現安全事件，則立即通知防火墻；在防火墻上，要禁止某一通信行為，可以說是簡單而準確的，因此，充分發揮各專業廠商的技術優勢，形成有機的整體安全系統，這樣的安全系統不但有效，而且還具備一定的自動智能。

以防火墻為核心形成開放的安全應用體系將形成一種防火墻系統的發展方向。防火墻在這一體系中充當主體角色，同時它也是一個服務中心，將得到其他安全產品的大力支持，真正成為名副其實的防火墻系統。