近来，可编程ASIC技术的发展以及更有效的规则算法的出现，大大增强了深度包检测引擎的执行能力，让这项技术在性能方面的压力得到了缓解。而将防火墙与入侵检测系统的功能封装在单个设备中也可以使得管理方面的负担得到减轻，所以应用了深度包检测技术的产品受到了相当一部分管理员的好评。一些主要的防火墙供应商，包括CheckPoint、Cisco、NetScreen、Symantec，都在不断增加其防火墙产品中的应用数据分析功能。

　　反思

　　我们在为深度包检测技术感到鼓舞的同时，也不能忘记这个世界上并不存在完美的技术。现在应用深度包检测的产品通常都是一体化的安全设备，相比之下，传统防火墙和入侵检测产品的一个重要优势在于不会因为单个安全组件的瘫痪导致整个网络处于无保护状态。同时如果将越多的功能集中在单一设备中，我们就越把自己限制于单个产品供应商。

　　这些可能会使我们在很大程度上丧失灵活性。对于具有高度动态性特征的安全事务，这可不是个可以忽视的问题。另外，我们的安全阵线已经处于一种非常复杂的境地，在我们的安全边界，已经充斥着各种传统的防火墙和入侵检测设备以及各种Honeypot产品，深度包检测技术的融合能够真正降低这种复杂性还是更进一步恶化现状，还需要我们认真面对。

　　最后，尽管目前深度包检测技术的性能获得了可观的提升，但是在同等硬件条件下，检测内容多的任务必定要比检测内容少的任务耗费时间，所以相对于只检测包头的传统检测技术，深入包检测技术的应用应该更有目的性，而不应该被当作一种“万灵药”。

　

图3 深度包检测

--
原文链接: http://security.ccidnet.com/art/231/20060207/423193_1.html