防火墻是防御網(wǎng)絡(luò)入侵者的最有效機制，阻擋基于網(wǎng)絡(luò)的攻擊的功能也日益完善。防火墻的發(fā)展階段包括訪問控制列表、應(yīng)用代理服務(wù)、狀態(tài)檢測三個階段。訪問控制列表――路由器和網(wǎng)關(guān)基于來源和目標IP地址以及連接所用協(xié)議作出決策。每種協(xié)議與不同的端口號相關(guān)聯(lián)，譬如端口80用于HTTP，端口110用于郵局協(xié)議（POP）。除了用于Web訪問的HTTP和用于電子郵件的簡單郵件傳輸協(xié)議（SMTP）等標準協(xié)議外，許多網(wǎng)關(guān)阻擋其它各種訪問。

    應(yīng)用代理服務(wù)――應(yīng)用代理防火墻是一種應(yīng)用軟件，在網(wǎng)絡(luò)和代理服務(wù)器之間的服務(wù)器上運行，譬如代理Web服務(wù)器的HTTP防火墻。從外面來看，代理防火墻所運行的HTTP服務(wù)器如同目標服務(wù)器；從里面來看，它又如同提出請求的客戶瀏覽器。這種“中間服務(wù)器”為安全管理員提供了對接受或阻擋哪種流量確定規(guī)則的機會。健壯的應(yīng)用代理防火墻需要運行它所防御的每種應(yīng)用的實例，包括Web服務(wù)器、數(shù)據(jù)庫服務(wù)、IRC、FTP、Telnet、電子郵件、Morpheus及企業(yè)的定制應(yīng)用。應(yīng)用代理服務(wù)在防火墻市場未能獲得成功是因為需要處理眾多的應(yīng)用。此外，調(diào)用應(yīng)用會大大增加時延，因而無法實現(xiàn)線速網(wǎng)絡(luò)處理。將來，企業(yè)多半不再使用基于軟件的應(yīng)用代理防火墻。

    狀態(tài)檢測――網(wǎng)關(guān)防火墻面臨的其中一個挑戰(zhàn)就是吞吐量。開發(fā)狀態(tài)檢測功能是為了讓規(guī)則能夠運用到會話發(fā)起過程，從而提高吞吐量。狀態(tài)檢測防火墻查看包頭后，根據(jù)規(guī)則集作出決定。阻擋或允許訪問的決定適用于該會話后來的所有包（會話則由來源、目標地址、協(xié)議和時間因素確定）。狀態(tài)檢測防火墻是一種包處理器，這種網(wǎng)絡(luò)設(shè)備能夠擴展，以適應(yīng)因特網(wǎng)數(shù)據(jù)中心及某些企業(yè)所需的千兆速率。然而，應(yīng)用防御需要識別有效載荷內(nèi)容的更強功能及線速檢測功能。Web服務(wù)將需要高速分析XML及簡單對象訪問協(xié)議（SOAP）對象。對這種應(yīng)用實施安全策略就需要全面檢測包有效載荷的功能。狀態(tài)防火墻技術(shù)唯有不斷發(fā)展才能滿足這種新需求。

    深度包檢測將成為防火墻發(fā)展的下一個階段。近期最具破壞性的網(wǎng)絡(luò)攻擊如紅色代碼和尼姆達都利用了應(yīng)用存在的漏洞，這加大了對應(yīng)用防火墻的需求。說到保護系統(tǒng)免受類似尼姆達的攻擊，眾多的應(yīng)用代理收效甚微。將來，只依靠代理或狀態(tài)包檢測防火墻的企業(yè)遭到應(yīng)用層攻擊破壞的機率兩倍于采用先進的深度包檢測防火墻方案的企業(yè)。

    Gartner認為，代理系統(tǒng)對阻擋將來的攻擊并非至關(guān)重要。將來防火墻需要更加深入監(jiān)控信息包流，查出惡意行為，并加以阻擋。市場上的包檢測解決方案必須增添功能（如特征檢測）尋找已知攻擊，并知道什么是“正?！绷髁浚ɑ谛袨榈南到y(tǒng)），以及阻擋協(xié)議的異常行為。

    最近防火墻廠商的動態(tài)表明，防火墻的這個發(fā)展階段已經(jīng)到來。譬如說，Check Point的SmartDefense使Firewall-1能夠查找常見攻擊，并丟棄與之有關(guān)的會話。NetScreen收購OneSecure后，把深度包檢測功能集成到了其應(yīng)用特定的集成電路防火墻設(shè)備。TippingPoint、NetContinuum、Fortinet和iPolicy等新興廠商也在利用分析包有效載荷以實施安全規(guī)則的功能。

    Web服務(wù)將迫使邊界防御機制提高識別允許哪類流量以代碼如SOAP元素或控制消息如XML語句等形式通過端口80訪問網(wǎng)絡(luò)的能力。防火墻廠商就要提供能控制這種流量的解決方案。