网络防火墙功夫深入到第七层

编者按：在短短的几年里，防火墙的功能重心从网络层发展到了应用层。本文阐述了这种变迁的技术背景，以及未来的防火墙技术走向。
应用层攻击挑战传统防火墙
最近两年来，攻击者的兴趣明显从端口扫描和制造拒绝服务攻击(DoS Attack)转向了针对Web、E-mail甚至数据库等主流应用的攻击。传统的防火墙仅仅检查IP数据包的包头，而忽略了内容——如果用信件来做比喻，也就是只检查了信封而没有检查信纸。因此对这类应用层的攻击无能为力。可以说，仅仅靠第三层和第四层的IP地址和协议端口过滤的防火墙产品早已走到了尽头。
战火烧向七层
为了对抗应用层(OSI网络模型的第七层)的攻击，防火墙必须具备应用层的过滤能力，一些防火墙产品已经具备了这种能力。
如果把计算机网络比做一座建筑，传统的包过滤防火墙就是在企业内部网络和Internet之间的一系列并列的门。每道门都有安检人员对到达的包裹(IP数据包)进行逐一检查，若没有发现数据包含有异常代码便开门放行。攻击者常用的伎俩就是通过端口扫描来检查哪些门是敞开不设防的，然后加以利用。晚些时候出现的具有状态检测功能的防火墙可以检查哪些数据包是来自Internet对内部网络访问请求的应答。也就是说，安检人员能够鉴别那些不请自来的包裹。