防火墙“易控”更“易用”－－应用流过滤技术 NetEye策划部部长王虎

　　面对一摞摞的产品技术白皮书，用户在选择防火墙产品的时候，如何才能看清市场呢？这就需要用户注意自己鉴别能力的提升，只有用户自己具有“一双慧眼”，才能真正做到“去粗存精，择优录用”。

??首先必须考虑的是防火墙厂商的技术实力和产品的核心体系架构，这些反映了产品的本质，是产品能否具有良好品质的保证。在防火墙产品的核心体系架构方面，不同厂商的防火墙产品的确存在不同，而且有时差异性还很大，并且正是由于这些差异导致了防火墙产品在健壮性、可靠性以及性能上的大幅差异。然而由于产品的核心技术架构是一个比较抽象的概念，很多用户至今不能真正区分他们的差异。

??防火墙的核心体系架构发展历经了简单包过滤、应用代理和状态检测等技术，这些技术各有优缺点，参阅本站文章《网络防火墙的体系结构 》。业界很多优秀的防火墙产品采用了状态检测型的体系结构，比如Check Point的Firewall-1，Cisco的PIX防火墙，NetScreen防火墙等等。由于状态检测包过滤和应用代理这两种技术本身的局限，目前市场上出现了一种集成了应用代理的模块和状态检测的模块混合性的防火墙，实际上并没有真正结合两种技术的长处－－

其核心模块结构如下图：

　　新的攻击手段的不断出现，使得防火墙在用户的核心业务系统中占据的越来越重要的地位，用户对防火墙的要求越来越高：用户要求防火墙提供更细粒度的访问控制手段；对新出现的漏洞和攻击方式能够迅速提供有效的防御办法；要求防火墙的管理更加容易和方便，减少配置所产生的安全误区；要求在紧急情况下可以做到迅速响应；要求具有很好的性能和稳定性。正是这种需求推动这技术不断向前发展。　　

　　NetEye防火墙在3.0的版本中实现了全新的“流过滤”结构，以状态包过滤的形态实现应用层的保护能力，见本站文章《“流过滤”技术》。