细看就会发现，这些供应商采用对80端口数据流中，针对URL长度进行控制的方法，来实现这个功能的。

　　如果使用这个规则，将对所有的应用程序生效。如果一个程序或者是一个简单的Web网页，确实需要涉及到很长的URL时，就要屏蔽该规则。

　　网络防火墙的体系结构，决定了网络防火墙是针对网络端口和网络层进行操作的，因此很难对应用层进行防护，除非是一些很简单的应用程序。

　　5、无法扩展带深度检测功能

　　基于状态检测的网络防火墙，如果希望只扩展深度检测（deep inspection）功能，而没有相应增加网络性能，这是不行的。

　　真正的针对所有网络和应用程序流量的深度检测功能，需要空前的处理能力，来完成大量的计算任务，包括以下几个方面：

　　★ SSL加密/解密功能；
　　★ 完全的双向有效负载检测；
　　★ 确保所有合法流量的正常化；
　　★ 广泛的协议性能；

　　这些任务，在基于标准PC硬件上，是无法高效运行的，虽然一些网络防火墙供应商采用的是基于ASIC的平台，但进一步研究，就能发现：旧的基于网络的ASIC平台对于新的深度检测功能是无法支持的。

　　6、小结

　　应用层受到攻击的概率越来越大，而传统网络防火墙在这方面有存在着不足之处。对此，少数防火墙供应商也开始意识到应用层的威胁，在防火墙产品上增加了一些弹性概念（Proof-Of-Concept）的特征，试图防范这些威胁。传统的网络防火墙对于应用安全的防范上效果不佳，对于上述列出的五大不足之处，将来需要在网络层和应用层加强防范。

--
原文链接: http://www.yesky.com/304/1875804.shtml