集成型防火墙不是功能堆砌

　　从防火墙技术的发展来看，防火墙的性能和功能从一开始就是一对矛盾。各个厂商的防火墙产品之间虽然有一定的差异，但其原理是相通的。我们先来看看传统防火墙和新型集成防火墙之间的区别。

　　传统防火墙可以分为四种类型：包过滤、应用级网关、代理服务器和状态检测。

　　一、数据包过滤型防火墙

　　数据包过滤技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表。通过检查数据流中每个数据包的源地址、目的地址、所用的端 口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。

　　二、应用级网关型防火墙

　　应用级网关是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。

　　三、代理服务型防火墙

　　代理服务也称链路级网关或TCP通道，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。

　　四、状态检测型防火墙

　　这是继“包过滤”技术和“应用代理”技术后发展的防火墙技术。对于新建立的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要是符合状态表，就可以通过。

      这种方式的好处在于：由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包（通常是大量的数据包）通过散列算法，直接进行状态检查，只要符合状态表，就可以通过，从而使性能得到较大的提高；而且，它根据从所有应用层中提取与状态相关的信息来做出安全决策，使得安全性也得到进一步的提高。由此可见，防火墙技术本身的改进，是可以缓解性能与功能之间的矛盾的。

　　以上四种防火墙都有各自的特色，也都有各自的不足。主要是现在用户所面临的威胁已经不能简单的依靠一款或者几款产品来保证了。用户需要的是一个系统的、全面的解决方案。而且这个解决方案还要具备容易设置、管理简洁等特点。

　　而传统的采购一堆单功能的安全设备组成冗余的安全防护系统的做法已经被很多人所摒弃。正如思科安全产品业务拓展经理王晓炜所言，当遇到安全事件时，用户多种安全设备都分别报警，由于属于不同的厂商的不同设备，用户界面和事件报告也大不相同，用户看起来会非常困惑，也无从判断事件的性质和威胁程度。

      但是，却不能忽略这些信息，然而如果重视，很可能到头来只是某个用户的误操作或误点击，只是各个相应的设备都报了警；如果忽略，又很可能的确是一个很大的威胁。所以，无论事件本身的性质，无论重视还是忽略，对这些设备的统一管理和操作本身就是一个问题。这正表明了，集成和整合是现代安全新的需求。