前五代防火墻技術都有壹個* * *壹樣的特點,就是采用壹壹匹配的方式,計算量太大。包過濾是檢查IP包的匹配情況。狀態檢測包過濾不僅檢查包的匹配性,還檢查狀態信息的匹配性。應用程序代理檢查應用程序協議和應用程序數據的匹配。所以都有壹個相同的缺陷——安全性越高,檢查越多,效率越低。用壹條定律來描述,防火墻的安全性與其效率成反比。
沒有人懷疑防火墻在所有安全設備采購中占據第壹位。但是傳統的防火墻並沒有解決網絡的主要安全問題。目前網絡安全的三大問題是:以拒絕訪問(DDOS)為主要目的的網絡攻擊,以蠕蟲為主要代表的病毒傳播,以垃圾郵件為代表的內容控制。這三大安全問題涵蓋了絕大多數的網絡安全問題。而這三個問題,傳統防火墻是無能為力的。原因有三,壹是傳統防火墻計算能力的限制。傳統防火墻是以高強度檢查為代價的。檢查強度越高,計算成本越大。第二,傳統防火墻的訪問控制機制是簡單的過濾機制。它是壹個簡單的條件過濾器,沒有智能功能,無法應對復雜的攻擊。第三,傳統防火墻無法區分良性和惡意行為,這決定了傳統防火墻無法解決惡意攻擊。