随着互联网的发展和攻击者工具与手法的升级，单纯的防火墙已难以满足网络与信息安全的要求，网络管理需要考虑整个信息安全体系的综合协调性。大多数单位利用基于主机的防病毒、内容过滤来对付应用级攻击，但这却带来了需要不断升级、网络性能下降和成本增加的问题。在网络界面防病毒/蠕虫，对应用层内容进行过滤代表着一种网络安全的新理念。

一、新的复合型防火墙关注内容过滤

第四代防火墙系列，通常指综合了状态检测与透明代理的复合型防火墙，更先进的产品是，它进一步基于ASIC架构，把防病毒、内容过滤整合到防火墙里， 其中还包括VPN、IDS功能，多单元融为一体，是一种新突破。

常规的防火墙并不能防止隐蔽在网络流量里的攻击，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。

网络防御网关通过硬件和软件相结合，使线速处理数据包内容、加密、复杂内容和行为扫描功能得到优化，提供一套完整的服务，它通常包括以下功能：防火墙、病毒/蠕虫检测和消除、根据URL或关键词/词组过滤内容、拒绝服务检测和防止、VPN、入侵检测及流量控制。

应用层的内容过滤与网络端口处理相比，要求大量的计算资源，很多情况下高达100倍甚至更高。 因而，如果在网络边缘对内容进行处理，带来的问题是必然严重影响到性能的下降。这就是所谓的内容处理障碍。为了突破内容处理障碍，达到实时地分析网络内容和行为，需要采用行为加速和内容分析新技术，方能避免影响系统性能。

将基于主机和基于网络的防病毒和内容过滤相比较， 当前常见的基于主机的解决方案不仅成本高， 而且有局限性。用软件实现的办法使系统速率上不去，它还必须经常对每一台主机及时进行软件升级；如果用URL来阻挡Web内容过滤，防止基于黑名单的攻击同样不尽人意；比较好的方法是在网络界面提供防病毒和内容过滤服务。这样最有效，例如防火墙+VPN网关+入侵检测系统这样的综合型防火墙。

二、内容过滤的瓶颈在速度

为了从技术上突破在内容处理上的障碍，需要重点在加速上采取有效的办法。网络防御网关（NPG）的典型实例就是Fortinet公司构筑的基于ASIC体系结构的FortiGate“网络防御网关”。这是一个集防火墙、防病毒、内容过滤、VPN、入侵检测和流量控制功能于一体的产品，也是以全新理念推出的对应用层内容过滤的网络安全产品。该网络防御网关主要在设计中采用以下三项关键技术：

1、定制专用的高性能硬件体系和ASIC快速内容过滤和病毒扫描。该技术的核心是其特有的ASIC体系结构， 由FortiASIC内容处理器和FortiOS操作系统组成， 高速背板和多CPU处理带来速度的优势。

2、采用专利的“行为加速和内容分析技术（ABACAS）”，这是保障高性能的基础。在芯片设计上体现了对内容和行为扫描有效的流程，特别是用专用数据总线来减少对内存的存取， 降低额外消耗，以达到在网络边界部署应用层防护措施的目的。

3、内容处理器包括功能强大的特征扫描引擎。这能使很大范围类型的内容与成千上万种病毒“特征”、 入侵攻击、 关键词或其它模式的“特征”相匹配。 另外，该ASIC还包括加密加速引擎， 以支持高性能VPN加密和解密。

三、过滤清晰的关键要“看得清”

内容过滤处理是一个复杂而又快捷的过程。 以FortiGate网关为例，它能“看到”隧道内部，防止有害成分进入专用网络。其内容过滤扫描的工作原理， 可以用以上图来说明。

当流量进入防火墙时，凡是与预先定义的内容协议组（例如HTTP、SNMP、POP3 和IMAP）相匹配的所有内容流量，首先被引导到 FortiTCPIP栈。 这是一个由硬件支持的栈引擎。当网关接收到网络流量时，内容扫描即开始。内容流一开始被接收时，FortiTCPIP栈先建立到客户端（Client）和服务器端（Server）的连接，然后栈接收数据包，把IP包转换为基于会话的内容流（Content Stream）。

高性能的、由硬件辅助的FortiTCPIP栈控制所有的内容协议处理。FortiTCPIP栈产生内容流送到业务类型区分器。业务类型区分器的作用是将内容流按照它们的业务类型而被分开。内容协议携带Web流量（HTTP）、邮件流量（SMTP、POP3、 IMAP）和其它类型协议。 经过分类的内容流下一步被输送到相关的命令解析器（Parser），它们能解析和理解高层协议。

POP3和HTTP协议分别进入POP3命令解析器和HTTP命令解析器。命令解析器分析内容流的内容，这里面有可能包含了病毒/蠕虫、禁止的内容或其它攻击性内容、网络入侵等。例如，如果内容流是HTTP流，HTTP命令解析器扫描上送和下载的文件；如果内容流是邮件流，POP3命令解析器扫描邮件附件或嵌入的代码。从命令解析器（或称解析状态机器）输出，分别馈送到相应不同的扫描引擎，即病毒扫描引擎和内容扫描引擎，进行扫描处理；如果数据流包含上送/下载的文件或邮件附件，它就被送入病毒扫描引擎。 所有其它内容则被路由到内容过滤引擎。