克服“管就死，放就乱”的智能防火墙

核心提示： 前五代防火墙技术有一个共同的特点，就是采用逐一匹配方法，克服“管就死，放就乱”的智能防火墙(2)，计算量太大，包过滤是对IP包进行匹配检查，一眼就发现黑客的攻击，为什么防火墙不行？原因就是传统的防火墙是一个简单机制，状态检测包过滤除了对包进行匹配检查外还要对状态信息进行匹配检查，应用代理对

前五代防火墙技术有一个共同的特点，就是采用逐一匹配方法，计算量太大。包过滤是对IP包进行匹配检查，状态检测包过滤除了对包进行匹配检查外还要对状态信息进行匹配检查，应用代理对应用协议和应用数据进行匹配检查。因此，它们都有一个共同的缺陷—安全性越高，检查的越多，效率越低。用一个定律来描述，就是防火墙的安全性与效率成反比。

没有人怀疑防火墙在所有的安全设备采购中占据第一的位置。但传统的防火墙并没有解决网络主要的安全问题。目前网络安全的三大主要问题是：以拒绝访问（DDOS）为主要目的的网络攻击，以蠕虫（Worm）为主要代表的病毒传播，以垃圾电子邮件（SPAM）为代表的内容控制。这三大安全问题覆盖了网络安全方面的绝大部分问题。而这三大问题，传统的防火墙是无能为力的。原因有三，一是传统防火墙计算能力的限制。传统的防火墙是以高强度的检查为代价，检查的强度越高，计算的代价越大。二是传统防火墙的访问控制机制是一个简单的过滤机制。它是一个简单的条件过滤器，不具有智能功能，无法应对复杂的攻击。三是传统的防火墙无法区分识别善意和恶意的行为，该特征决定了传统的防火墙无法解决恶意的攻击行为。

智能防火墙应运而生

智能防火墙是相对传统的防火墙而言的，顾名思义，它更聪明、更智能。80%的用户非常接受智能防火墙的概念，在他们的眼里，不聪明就是不可靠、不安全。找个不聪明的保镖，你觉得安全吗？传统防火墙存在的很多问题，用户往往难以理解。用户经常会问，为什么防火墙不能防止黑客的攻击？安全专家用记录的数据来分析，一眼就发现黑客的攻击，为什么防火墙不行？原因就是传统的防火墙是一个简单机制，只能机械地执行安全策略。