防火墙已经是目前最成熟的网络安全技术，也是市场上最常见的网络安全产品。在网上Google一下“防火墙”，找到2540000个匹配项;Google一下“firewall”，找到44200000个匹配项。可以想象，防火墙资料之多如汪洋大海。面对这么多的信息，想对防火墙说三道四，还真不容易。目前，网络入侵、网络攻击、网络病毒、垃圾邮件、网络陷阱，网页被篡改的新闻太多，以致于公众对“狼来了”已经麻木、没有反应了。众多的防火墙厂商，琳琅满目的防火墙产品，五花八门的防火墙新技术，充斥着网络安全界。现在网络安全产业，不是用户有什么问题，而是厂商有问题。防火墙技术已经成熟，为广大用户所认可，但是防火墙存在的问题被暴露出来，而且还很严重。用户现在是在看防火墙厂商，看他们怎么办。一位信息中心的老总在一次安全大会上叫板说，我已经买了不少防火墙，别跟我来虚的，跟我说点有新意的东西。现在不缺经费，就缺管用的东西。

　　现在的防火墙技术到底有什么问题?用户到底要什么管用的东西?

　　1、向下看，别老向上看

　　业界流行的观点是，高性能防火墙是防火墙未来发展的趋势。高性能防火墙简直就是防火墙硬件结构不用X86。而对于高端防火墙的技术实现，不外乎基于NP技术或ASIC芯片技术。NP在网络底层转发和处理数据，可二次开发，但性能比ASIC差一点。ASIC技术难度大，很难开发，但性能好一点。NP和ASIC还没有争论完，有些聪明的厂商已经找到诀窍，推出NP+ASIC的综合方案，总算找到“最佳”的搭配方案。至于工控机架构，明眼人一眼就看出了，搞NP和ASIC的人联手，就说它性能不好，说多了就让它淘汰。

　　真实的情况到底是什么?用户到底是要安全还是要速度?安全和速度可是一对矛盾。在发生安全事故的时候，慢比快安全。如发生相撞事件，行人比骑自行车安全，骑自行车比开汽车安全，开汽车比坐飞机要强。不发生安全事故，当然是效率越高越好，能坐火箭当然不坐飞机。从这个意义上，如果是选择路由器，当然是速度和效率;如果是选择安全设备，要是你是安全负责人的话，选慢的，别选快的。安全总是需要时间来处理，速度越快，效率越高，安全事故发生的时候就越没救。哥仑比亚航天飞机下来的时候出了故障，连人影都找不着;飞机失事，人影还有，就是残缺不全;两个人走路相撞，生气归生气，但基本不会有事。

　　这个道理用户懂，可路由器和交换机已经买了千兆的，怎么办?怎么办，买千兆防火墙!挑不挑NP或ASIC或X86，是你的事。其实，把安全问题放在千兆出口来解决，本身就不是一种理想的选择。能在计算机上解决的，不要交给网络;能在10M口上解决的，不要交给100M;能在100M口上解决的不要交给1000M;如果你还打算把安全问题交给10000M口上去解决，那基本上就是不解决。

　　2、向内看，别老向外看

　　来自网络外部的安全问题当然存在。黑客也罢，敌对势力也罢，外部威胁还在。但是现在90%的安全问题在内部，重点在内部，不在外部。病毒发作，往往是内部传染的。扫描，往往是内部的主机干的。要解决内部的问题，现在的防火墙架构形同虚设。一个只防外不管内的防火墙，怎么管内部的安全问题。再说，防火墙也管不着不经过防火墙的流量。

　　现有的防火墙架构是一种粗颗粒度的访问控制，把整个内部网络当作一个逻辑单元来处理。这种粗颗粒度的访问控制机制不能满足高安全性的要求，不能解决内网的安全问题，因此我们需要细颗粒度的访问控制机制。细颗粒度的访问控制机制未来会很吃香。提高精度，总是好事。

　　要说向内看，思科的网络访问控制(NAC)和微软的网络访问保护(NAP)，都在向内看。最近注意到华为也开始向内看。无论是微软还是思科，尽管有各自的算盘，但在向内看这个问题上，倒是达成一致共识。分布式防火墙，全网安全，网格防火墙(Grid Firewall)，这三样也是典型的向内看的安全架构。

　　无论是思科还是其它的公司，都从去年的SARS事件中得到启发。如果网络的某个主机不安全，在没有有效办法去解决的前提下，最好的办法就是隔离。思科说，我从交换机上将其隔离。分布式防火墙说，我在每一个分布式防火墙上把这个IP和MAC给封了。总之，给隔离了。

　　向内看肯定是一个趋势。细颗粒度的访问控制到底细到什么程度，目前还没有明确的说法。如果能对每一个用户，每一个IP，每一个MAC地址，都进行访问控制，可以肯定这是目前最细颗粒度的访问控制。这样的网络，是一个强制访问控制网络。听听，这个名词，强制访问控制网络(MACNET)，一听就知道是安全的。如果你的网络，每一个用户都有防火墙，每一个IP都有防火墙，每一个MAC地址都有防火墙，你的内网一定相当安全。

　　真实的情况到底是什么?用户到底是要安全还是要速度?安全和速度可是一对矛盾。在发生安全事故的时候，慢比快安全。如发生相撞事件，行人比骑自行车安全，骑自行车比开汽车安全，开汽车比坐飞机要强。不发生安全事故，当然是效率越高越好，能坐火箭当然不坐飞机。从这个意义上，如果是选择路由器，当然是速度和效率;如果是选择安全设备，要是你是安全负责人的话，选慢的，别选快的。安全总是需要时间来处理，速度越快，效率越高，安全事故发生的时候就越没救。哥仑比亚航天飞机下来的时候出了故障，连人影都找不着;飞机失事，人影还有，就是残缺不全;两个人走路相撞，生气归生气，但基本不会有事。

　　这个道理用户懂，可路由器和交换机已经买了千兆的，怎么办?怎么办，买千兆防火墙!挑不挑NP或ASIC或X86，是你的事。其实，把安全问题放在千兆出口来解决，本身就不是一种理想的选择。能在计算机上解决的，不要交给网络;能在10M口上解决的，不要交给100M;能在100M口上解决的不要交给1000M;如果你还打算把安全问题交给10000M口上去解决，那基本上就是不解决。

　　2、向内看，别老向外看

　　来自网络外部的安全问题当然存在。黑客也罢，敌对势力也罢，外部威胁还在。但是现在90%的安全问题在内部，重点在内部，不在外部。病毒发作，往往是内部传染的。扫描，往往是内部的主机干的。要解决内部的问题，现在的防火墙架构形同虚设。一个只防外不管内的防火墙，怎么管内部的安全问题。再说，防火墙也管不着不经过防火墙的流量。

　　现有的防火墙架构是一种粗颗粒度的访问控制，把整个内部网络当作一个逻辑单元来处理。这种粗颗粒度的访问控制机制不能满足高安全性的要求，不能解决内网的安全问题，因此我们需要细颗粒度的访问控制机制。细颗粒度的访问控制机制未来会很吃香。提高精度，总是好事。

　　要说向内看，思科的网络访问控制(NAC)和微软的网络访问保护(NAP)，都在向内看。最近注意到华为也开始向内看。无论是微软还是思科，尽管有各自的算盘，但在向内看这个问题上，倒是达成一致共识。分布式防火墙，全网安全，网格防火墙(Grid Firewall)，这三样也是典型的向内看的安全架构。

　　无论是思科还是其它的公司，都从去年的SARS事件中得到启发。如果网络的某个主机不安全，在没有有效办法去解决的前提下，最好的办法就是隔离。思科说，我从交换机上将其隔离。分布式防火墙说，我在每一个分布式防火墙上把这个IP和MAC给封了。总之，给隔离了。

　　向内看肯定是一个趋势。细颗粒度的访问控制到底细到什么程度，目前还没有明确的说法。如果能对每一个用户，每一个IP，每一个MAC地址，都进行访问控制，可以肯定这是目前最细颗粒度的访问控制。这样的网络，是一个强制访问控制网络。听听，这个名词，强制访问控制网络(MACNET)，一听就知道是安全的。如果你的网络，每一个用户都有防火墙，每一个IP都有防火墙，每一个MAC地址都有防火墙，你的内网一定相当安全。

5、规则配置向微软学习

　　要问用户对防火墙最害怕什么?用户一定说最害怕给防火墙配规则。为什么?因为规则配错了，防火墙的功能就不正确，安全出了问题，一定是用户负责。所以用户说，什么都愿意干，就是不愿意配规则。而规则恰恰是防火墙的灵魂，也是防火墙最大的难点。

　　为什么说配规则是防火墙的最大难点?因为单独配一条规则很容易，配多条规则要保证其正确性却很难，因为规则与顺序有关。ABC，ACB，BCA，BAC，CAB，CBA的结果，可能相同，也可能不同，在规则很多的情况下，要检查和验证也很难。当然，如果你只配一条规则，这个问题就不存在。

　　记得一位行业的用户朋友询问，有没有卖安全规则的?如果有卖安全规则的，他就愿意去买规则，这样他就不再担心规则配置错误。到现在为止，确实还没有卖安全规则的。即使一些公司提供安全服务，帮助用户配置一些规则，这同卖规则还是完全不同的两码事。

　　如果有一天，防火墙厂商把安全规则与厂商的防火墙分离，安全规则可能真的成为一个独立的市场。也许那个时候，上面的朋友才能买到安全规则。这一点倒是很像医和药分离的制度，即看病和卖药是完全分开的。医生不准买药。药店不准开处方。如果是处方药，必须要得到医生的处方，药店才能卖。

　　修改IE的标题栏：即在IE浏览器最上方的蓝色横条里做广告，而不是显示默认的“Microsoft Internet Explorer”。这种修改非常常见，有人也特意针对它编制了反修改的程序。

　　注册表位置

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main 　　　　　　

　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

　　在注册表中找到以上两处主键，将其下的“Window Title”主键删除，并关闭所有打开的IE浏览器窗口再重新打开就能看到效果。

　　修改IE的首页

　　这个改回来很方便，在IE的设置里就有(Internet选项->常规->主页)。比较麻烦的是某些网页在浏览者的硬盘里写入程序，使重启计算机后首页设置又被改了回去，这时可使用“系统配置实用程序”来解决。开始—运行，键入msconfig点击“确定”，在弹出的窗口中切换到“启动”选项卡，禁用可疑的程序启动项。

　　在Windows启动时显示一个窗口，点确定才能进去 这个设置其实与IE无关，而是Windows的登录提示窗口，不过最近有些网页对它动上了脑筋，在这个窗口里做广告。

　　注册表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon

　　在注册表中找到此主键，将其下的“LegalNoticeCaption”和“LegalNoticeText”主键删除即可。

　　在IE里点击鼠标右键。在弹出的菜单里显示网页广告 这种情况很少见，不过解决方法也不复杂。

　　注册表 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

　　在IE中显示的附加右键菜单都在这里设置，常见的网络蚂蚁和网际快车点击右键下载的信息也存放在这里，只需找到显示广告的主键条目删除即可。

　　　5、规则配置向微软学习

　　要问用户对防火墙最害怕什么?用户一定说最害怕给防火墙配规则。为什么?因为规则配错了，防火墙的功能就不正确，安全出了问题，一定是用户负责。所以用户说，什么都愿意干，就是不愿意配规则。而规则恰恰是防火墙的灵魂，也是防火墙最大的难点。

　　为什么说配规则是防火墙的最大难点?因为单独配一条规则很容易，配多条规则要保证其正确性却很难，因为规则与顺序有关。ABC，ACB，BCA，BAC，CAB，CBA的结果，可能相同，也可能不同，在规则很多的情况下，要检查和验证也很难。当然，如果你只配一条规则，这个问题就不存在。

　　记得一位行业的用户朋友询问，有没有卖安全规则的?如果有卖安全规则的，他就愿意去买规则，这样他就不再担心规则配置错误。到现在为止，确实还没有卖安全规则的。即使一些公司提供安全服务，帮助用户配置一些规则，这同卖规则还是完全不同的两码事。

　　如果有一天，防火墙厂商把安全规则与厂商的防火墙分离，安全规则可能真的成为一个独立的市场。也许那个时候，上面的朋友才能买到安全规则。这一点倒是很像医和药分离的制度，即看病和卖药是完全分开的。医生不准买药。药店不准开处方。如果是处方药，必须要得到医生的处方，药店才能卖。

　　修改IE的标题栏：即在IE浏览器最上方的蓝色横条里做广告，而不是显示默认的“Microsoft Internet Explorer”。这种修改非常常见，有人也特意针对它编制了反修改的程序。

　　注册表位置

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main 　　　　　　

　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

　　在注册表中找到以上两处主键，将其下的“Window Title”主键删除，并关闭所有打开的IE浏览器窗口再重新打开就能看到效果。

　　修改IE的首页

　　这个改回来很方便，在IE的设置里就有(Internet选项->常规->主页)。比较麻烦的是某些网页在浏览者的硬盘里写入程序，使重启计算机后首页设置又被改了回去，这时可使用“系统配置实用程序”来解决。开始—运行，键入msconfig点击“确定”，在弹出的窗口中切换到“启动”选项卡，禁用可疑的程序启动项。

　　在Windows启动时显示一个窗口，点确定才能进去 这个设置其实与IE无关，而是Windows的登录提示窗口，不过最近有些网页对它动上了脑筋，在这个窗口里做广告。

　　注册表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon

　　在注册表中找到此主键，将其下的“LegalNoticeCaption”和“LegalNoticeText”主键删除即可。

　　在IE里点击鼠标右键。在弹出的菜单里显示网页广告 这种情况很少见，不过解决方法也不复杂。

　　注册表 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

　　在IE中显示的附加右键菜单都在这里设置，常见的网络蚂蚁和网际快车点击右键下载的信息也存放在这里，只需找到显示广告的主键条目删除即可。