关注防火墙技术新动向

　　向内看肯定是一个趋势。细颗粒度的访问控制到底细到什么程度，目前还没有明确的说法。如果能对每一个用户，每一个IP，每一个MAC地址，都进行访问控制，可以肯定这是目前最细颗粒度的访问控制。这样的网络，是一个强制访问控制网络。听听，这个名词，强制访问控制网络(MACNET)，一听就知道是安全的。如果你的网络，每一个用户都有防火墙，每一个IP都有防火墙，每一个MAC地址都有防火墙，你的内网一定相当安全。

　　3、来实的，别老来虚的

　　防火墙给人的感觉就是没技术。要不然，怎么一下就好几百个防火墙厂商，而且每家的功能都差不多。如今非要说防火墙还有什么技术的话，对其进行DDoS 攻击，看看就知道了。Linux的防火墙家家都会，但Linux上的抗DDoS攻击软件的效果不是很好。解决DDoS攻击是防火墙必须解决的问题。俗话说，养兵千日，用兵一时。敌人要打仗，你有什么办法，对抗是唯一的办法。在治理和封堵不能解决问题的情况下，对抗就是最后的办法。

　　前不久看到一则消息，一家国内的厂商的抗DDoS攻击的防火墙，被国内一名技术人员研制出一种专门针对该厂商的DDoS攻击软件。该厂商很生气，对软件的作者进行了谴责。我倒觉得这不是什么坏事，该厂商也很争气，马上给出一个改进版本。这就对了，证明了自己的实力。这才叫打硬仗。那位程序人员也是了得，针对一个公司的产品给出相应的攻击工具，先不管做法对不对，对安全产业肯定会有帮助。

　　别说抗DDoS该怎么做，先给出抗DDoS的防火墙再说。现在网上DDoS的攻击工具多的是，你不用，别人可没说不用，还是测一测比较放心。听说一些安全公司现在都有专门自制的DDoS测试工具，不妨向他们要一个，这也反映一个公司的技术实力。以子之矛攻子之盾，是最好的方法。用别人的矛攻子之盾，也是常见的方法。