五元组和防火墙

目前大多数防火墙还是传统的基于五元组的防火墙,我觉得这太差劲了,我认为只有第七层防火墙才是真正的防火墙,五元组不能标示一个应用,正如tcp的80端口并不总是代表http一样,想要标示一个应用,你必须去分析第七层的协议头,而不是联合第三层,第四层的协议头,毕竟我们需要匹配一个第七层的应用,那就要需要第七层的协议头!然而第七层解析的问题何在?我觉得这有两方面,第一方面是谁提供了匹配的内容,也就是协议头的匹配规则,另一个就是必须保证匹配时间可预测而不是尽可能的快,这样随机处理才不会带来不可预知的混乱。对于第一个问题,正如上网行为关系系统的数据库一样,必须从一个可信的站点来下载协议匹配规则,这正是目标倡导的内容为王的根本,对于第二个问题,还是回归到了计算机问题的本质,那就是算法。

本文转自 dog250 51CTO博客,原文链接:http://blog.51cto.com/dog250/1268926

上一篇:netscreen防火墙映射和虚拟ip地址
下一篇:Linux防火墙iptables学习笔记(二)参数指令