【TechTarget中国原创】问 ：为了适应使用HTTP（端口80）的应用程序越来越多的现象，防火墙技术必须要改变吗？

　　答：大部分情况下，是这样的。在过去的几年中，Web为基础的应用程序的增长速度令人难以置信。Web浏览器是现在最常用的应用程序用户界面，而大部分的浏览器应用通信程序都使用端口80。对于开放式通信系统（Open System Interconnection，OSI）的应用层，也就是第7层的攻击是对防火枪的一次真正的挑战，因为恶意代码“化装”成合法的客户需求和正常的应用数据。

　　传统的防火墙技术，比如，信息报过虑和状态检测，已经不再合适，因为他们不能区分恶意和非恶意需求和数据。多样性和流量也使传统防火墙更难对过滤器实行单纯的“允许/阻止”原则。 比如，某一个防火墙可能仅仅允许端口80上的HTTP流量，但是这样的限制条件也可能放过了类似合法HTTP要求的SQL注入攻击。间谍软件，同样也仍然依据外部服务器认证书，在端口80上运行信道。

　　防火墙厂商通过开发应用层防火墙来应对这些威胁。和传统防火墙相比，应用防火墙过虑设备提供更好的内容过虑功能。应用防火墙还可以检查信息包的有效载荷，并根据内容作出判断，允许或拒绝具体的应用程序要求和命令。防火墙的功能使得管理员在网络流量的粒控制方面有很大的权限。比如，管理员可以允许或拒绝来自某个用户的具体的引入远程命令。现在，很多的应用层防火墙允许创建过滤器，截取、分析或修改到达你网络的流量，使防火墙可以更好，跟简单地保护具体资产。

　　一个防火墙应该“学会”什么是，什么不是某个具体网络的正常流量，并据此改变行为。虽然，真正需要解决的问题，是把网络流量和前后连接起来.是不是有每周的电子新闻邮件带出的大量突然的带外邮件，或者由一个被攻击的机器发送垃圾邮件？是不是需要一份黑客采样的数据库的数据库表格，或者管理员进行的必要任务？为了解决这些问题，防火墙将需要和认证系统以及其他的周界防护进行进一步整合，为监视流量增加关联。

　　对抗应用层攻击总是需要不只一个防火墙，不管他们变得多么复杂。应用程序开发团队也要负责任，保证通过防火墙的流量在进入应用程序前经过了检测和清洗，而应用程序可能会遭到破坏。无论安装的是什么防火墙或周界防御工具，假定所有的数据来源都不可信任，这一点非常必要。还要谨记防火墙永远不能防止网络钓鱼和社会工程攻击。也就是说，比如对所有的信息安全所作的努力的案例中，最后一道防线是员工的安全意识。