防火墙已经被用户普遍接受，而且正在成为一种主要的网络安全设备。防火墙圈定一个保护的范围，并假定防火墙是唯一的出口，然后防火墙来决定是放行还是封锁进出的包。传统的防火墙有一个重大的理论假设—如果防火墙拒绝某些数据包的通过，则一定是安全的，因为这些包已经被丢弃。但实际上防火墙并不保证准许通过的数据包是安全的，防火墙无法判断一个正常的数据包和一个恶意的数据包有什么不同，而是要求管理员来保证该包是安全的。管理员必须告诉防火墙准许通过什么，防火墙则依据设置的规则来准许该包通过，这样管理员就必须承担策略错误的安全责任。然而，传统防火墙的这种假设对网络安全是不恰当的，安全效果也不好。把安全责任交给安全管...