防火墙迈向安全应用网关(2)

　　深度应用层代理检测

　　Marck W.Stevens认为，代理技术是防火墙在网络中保护脆弱点的一种有效方式。“包过滤”和“状态包过滤”对数据进行检查的深度都无法与代理技术相媲美。在防火墙技术发展初期，出于性能考虑，人们较多采用了包过滤和状态监测，而很少采用代理技术，目前已趋于成熟的ASIC和NP技术已经使得代理技术不会对防火墙性能造成影响，速度问题已经不再是影响人们选择防火墙技术的因素了，相反随着安全威胁的日益复杂和深层化，深层次的应用层代理检测技术对防火墙正变得越来越重要。

　　WatchGuard在防火墙当中使用代理技术，也是目前唯一能够在应用层（第七层）实现代理的安全厂商。在新一代防火墙中，WatchGuard不仅提供在网络层和传输层的状态包过滤检测，而且还提供应用层用代理检测。具体来说，HTTP应用代理程序可以进行针对性过滤内容，保护依赖互联网的企业应用免受HTML的攻击。SMTP应用代理程序实时监控接收和发送的邮件的内容，防止邮件服务器超载和受到邮件炸弹袭击，根据邮件类型和名称来辨别邮件是否携带有蠕虫或者木马，并且能够自行阻击攻击行动，或者隐藏或改变内部的IP地址，避免受到攻击的可能。

　　Marck W.Stevens明确提出，防火墙未来的发展方向是安全应用网关。尽管防火墙并不是企业网络安全防线的终点，但是如果将防火墙与其他措施配合使用，并建立一个层次化的安全机制，那么防火墙仍然是一个基础的防御工具。

　　Marck W.Stevens预言未来的防火墙

　　◆下一代防火墙将继续成为网络安全的基石

　　◆ 独立的入侵防御系统变得不具有竞争力，入侵防御将成为防火墙的一个功能

　　◆防火墙除了实现网络层安全外，还要实现应用层安全性

　　◆ 拥有更强的CPU处理能力和更大的存储空间，进行越来越繁重的处理