几乎是在同时，国际国内著名的防火墙厂商均提出了在应用层上对数据包进行智能检测的防火墙技术。这是巧合还是预示着防火墙技术的方向变革？

两大对手首次表现一致

Check Point公司与NetScreen公司一直是全球防火墙领域的两大竞争对手，前者致力于用软件实现防火墙，主攻功能的复杂性；后者致力于用ASIC硬件技术实现防火墙，主攻硬件性能。然而，在10月的信息安全展上，双方却表现出了少有的一致。

10月20日，Check Point公司宣布推出最新一代应用程序智能技术，并将这一技术集成在随后推出的Check Point所有的防火墙产品中。据该公司大中国区总经理梁伟业介绍，目前，绝大多数防火墙只是设计用来对网络层进行访问控制，而不能对应用层进行保护，可是，目前日益猖獗的黑客攻击事件，多数集中在应用层上，如Slammer、冲击波病毒等，因此，防火墙在这些攻击面前显得无能为力。新一代防火墙必须增加对应用层的保护功能。

第二天，10月21日，NetScreen公司在京宣布推出新一代整合了IDP（入侵防护）功能的新型防火墙——NetScreen深层监测防火墙。据该公司亚太区高级市场总监Paul Serrano先生介绍，这是一款能防止网络层和应用层攻击的新型产品，除了具有防火墙在网络层的访问控制功能外，还能在应用层主动检测攻击，并丢弃攻击包。

无论双方各称自己的技术如何与众不同，至少我们看到，国际主流防火墙厂商的眼光已经从网络层转移到了应用层，防火墙走向智能化已是不争的事实。

传统防火墙的不足

无独有偶，在展览会上，国内防火墙厂商中网公司展示的一款最新推出的智能型防火墙引起了记者的关注。不久前，记者与该公司总经理万平国先生交流，他认为，防火墙技术经历了5次巨大变革，形成了五大主流防火墙技术，尽管这些技术在市场上成功的程度各不相同。

第一代防火墙技术几乎与路由器同时出现，采用了包过滤技术。1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，NEC后来推出的socks5就是典型的电路代理防火墙。第三代防火墙，是美国国防部出资研制的有名的TIS防火墙套件。第四代防火墙是1992年，USC信息科学院的BobBraden开发出了基于动态包过滤技术，后来演变为目前所说的状态监测技术，1994年，Check Point公司开发出了第一个商业化产品。第五代防火墙是在1998年，NAI公司推出的一种自适应代理技术，并在其产品Gauntlet Firewall 中得以实现，可以称之为第五代防火墙。

但是，尽管经历了五代技术演变，目前人们发现，传统防火墙依然无法解决三个主要问题：一是拒绝服务攻击；二是以蠕虫为代表的具有拒绝访问攻击能力的病毒传播; 第三是广泛传播的垃圾邮件。DDoS利用了TCP/IP协议本身的缺陷，Worm利用系统自身存在的漏洞缺陷，垃圾邮件则利用过滤技术无法区分善意和恶意内容的缺陷。

这些问题如此泛滥，以至于很多人以为防火墙不能起作用。主流厂商也在思考，为什么防火墙不能解决这些问题？还缺少哪些环节？防火墙必须寻找突破口，以摆脱应用面狭窄的面貌，同时，提高防火墙的开发门槛。

防火墙越变越聪明

第六代防火墙技术是记者根据前五代的特征而总结的，它应该是具有高度智能的防火墙，能根据应用的不同，而有目的地选择允许通过或阻断的数据包。它不是在过滤技术上进行深度挖掘，不是为了解决性能问题而去单一提升速度，而是在访问控制技术上另辟蹊径。

万平国说，基于智能访问控制的防火墙产品，应该实现防欺骗、防扫描、防入侵、防攻击、防篡改以及简单的反病毒等功能。

目前，国际上其他著名防火墙厂商，如思科公司、Fortinet等公司都在自己的防火墙中逐渐引入智能的概念，Fortinet的防火墙甚至深入到了对病毒的监测领域。但同时，我们看到，各种不同的防火墙越来越不具有可比性。

越是到应用层，厂商和用户的关注点分歧就越大：某些关注协议分析，某些关注Web、邮件的安全，某些关注HTTP、SMTP、IMAP、POP、FTP、DNS的安全，某些将IPv6的认证思想应用到防火墙中，某些甚至将内容过滤和反病毒功能都变成防火墙功能中的一部分……作为应用者，我们只能根据自己不同的需求，选择这些不同的应用功能，由此选择不同厂商的产品。

然而，无论如何，我们看到，防火墙是越变越聪明了。

（计算机世界报 第41期 E14）