圖1

整合性

防火墻的規模和功能可以適應內部網絡的規模和安全策略的變化。選擇哪種防火墻，除了應考慮它基本性能外，毫無疑問，還應考慮用戶的實際需求與未來網絡的升級。未來的防火墻系統應是一個可隨意伸縮的模塊化解決方案，從最為基本的包過濾器到帶加密功能的VPN型包過濾器，直至一個獨立的應用網關，使用戶有充分的余地構建自己所需要的防火墻體系。同時，防火墻還要盡可能地提供防毒和防黑的功能：在防火墻內具有內置病毒和內容掃描功能或允許用戶將病毒與內容掃描程序，并可以與第三方過濾服務連接，獲取這些服務所提供的不受歡迎的Internet站點的分類清單，并盡其可能阻止拒絕服務攻擊。

未來的防火墻將是企業網絡安全的一個基本平臺，加入如同前文提到的VPN、內容過濾、加解密、防毒軟件、入侵偵測，甚至包括負載平衡、HA(High Availability）、QoS(Quality of Service）等，組成一個整合的中央管理系統來控管整個企業網絡的安全(如圖2）。

圖2

簡便性

防火墻產品配置和管理的難易程度是防火墻能否達到目的的主要考慮因素之一。實際上，許多防火墻產品并未起到預期作用的一個不容忽視的原因在于配置和實現上的錯誤。同時，若防火墻的管理過于困難，則可能會造成設定上的錯誤，反而不能達到其功能。因此未來的防火墻將具有非常易于進行配置的圖形用戶界面，Windows NT防火墻市場的發展證明了這種趨勢。Windows NT提供了一種易于安裝和易于管理的基礎。盡管基于Windows NT的防火墻通常落后于基于Unix的防火墻，但其簡單性以及方便的可用性大大推動了基于Windows NT的防火墻的銷售。 同時，像DNS 這類一直難于與防火墻恰當使用的關鍵應用程序正引起有意簡化操作的廠商越來越多的關注。

結束語：盡管防火墻是在內部網與外部網之間實施安全防范的系統，還存在一定的局限性：

不能防范外部的刻意的人為攻擊；

不能防范內部用戶攻擊；

不能防止內部用戶因誤操作而造成口令失密受到的攻擊；

很難防止病毒或者受病毒感染的文件的傳輸。

所以絕對完美的防火墻只是后防火墻時代的一個最終幻想，作為網絡安全政策和策略中的一個組成部分，它并不能解決網絡安全中的所有問題。但了解防火墻技術并學會在實際操作中應用防火墻技術，能在很大程度上保證在你連上Internet的時候不受網絡“黑客”的騷擾�煆亩�能保證計算機系統的安全。