据专家统计，目前70%的攻击是发生在应用层，而不是网络层，对于这类攻击，传统网络防火墙的防护效果，并不太理想，传统的网络防火墙，存在着五大不足之处。

    如今，知识渊博的黑客，均能利用网络防火墙开放的端口，巧妙躲过网络防火墙监测，直接针对目标应用程序。他们想出复杂的攻击方法，能够绕过传统网络防火墙。据专家统计，目前70%的攻击是发生在应用层，而不是网络层。对于这类攻击，传统网络防火墙的防护效果，并不太理想。

    传统网络防火墙，存在着以下不足之处:

    1、无法检测加密的Web流量

    如果你正在部署一个门户网站，希望所有的网络层和应用层的漏洞都被屏蔽在应用程序之外。这个需求，对于传统的网络防火墙而言，是个大问题。

    由于网络防火墙对于加密的SSL流中的数据是不可见的，防火墙无法迅速截获SSL数据流并对其解密，因此无法阻止应用程序的攻击，甚至有些网络防火墙，根本就不提供数据解密的功能。

    2、普通应用程序加密后，也能轻易躲过防火墙的检测

    网络防火墙无法看到的，不仅仅是SSL加密的数据。对于应用程序加密的数据，同样也不可见。在如今大多数网络防火墙中，依赖的是静态的特征库，与入侵监测系统(IDS，Intrusion Detect System)的原理类似。只有当应用层攻击行为的特征与防火墙中的数据库中已有的特征完全匹配时，防火墙才能识别和截获攻击数据。

    但如今，采用常见的编码技术，就能够地将恶意代码和其他攻击命令隐藏起来，转换成某种形式，既能欺骗前端的网络安全系统，又能够在后台服务器中执行。这种数据加密后的攻击代码，只要与防火墙规则库中的规则不一样，就能够躲过网络防火墙，成功避开特征匹配。

    3、对于Web应用程序，防范能力不足

    网络防火墙于1990年发明，而商用的Web服务器，则在一年以后才面世。基于状态检测的防火墙，其设计原理，是基于网络层TCP和IP地址，来设置与加强状态访问控制列表(ACLs，Access Control Lists)。在这一方面，网络防火墙表现确实十分出色。

    近年来，实际应用过程中，HTTP是主要的传输协议。主流的平台供应商和大的应用程序供应商，均已转移到基于Web的体系结构，安全防护的目标，不再只是重要的业务数据。网络防火墙的防护范围，发生了变化。

    4、应用防护特性，只适用于简单情况

    目前的数据中心服务器，时常会发生变动，比如:

    ★ 定期需要部署新的应用程序;

    ★ 经常需要增加或更新软件模块;

    ★ QA们经常会发现代码中的bug，已部署的系统需要定期打补丁。

    5、无法扩展带深度检测功能

    基于状态检测的网络防火墙，如果希望只扩展深度检测(deep inspection)功能，而没有相应增加网络性能，这是不行的。

    真正的针对所有网络和应用程序流量深度检测功能，需要空前的处理能力，来完成大量的计算任务，包括以下几个方面:

    ★ SSL加密/解密功能;

    ★ 完全的双向有效负载检测;

    ★ 确保所有合法流量的正常化;

    ★ 广泛的协议性能;

    这些任务，在基于标准PC硬件上，是无法高效运行的，虽然一些网络防火墙供应商采用的是基于ASIC的平台，但进一步研究，就能发现:旧的基于网络的ASIC平台对于新的深度检测功能是无法支持的。

    小结：应用层受到攻击的概率越来越大，而传统网络防火墙在这方面有存在着不足之处。对此，少数防火墙供应商也开始意识到应用层的威胁，在防火墙产品上增加了一些弹性概念(Proof-Of-Concept)的特征，试图防范这些威胁。传统的网络防火墙对于应用安全的防范上效果不佳，对于上述列出的五大不足之处，将来需要在网络层和应用层加强防范。