最近，有些厂商推出了防火墙产品，声称直接在防火墙上集成了病毒检测的模块，可以在数据进出防火墙的时候直接对病毒代码进行检测和分析，那么这样做究竟是好是坏呢？究竟是防火墙的一个趋势还是一个造势的噱头呢？下面我来进行一些分析。
　　众所周知，防火墙是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看，防火墙应具有以下五大基本功能：
　　●过滤进、出网络的数据
　　●管理进、出网络的访问行为
　　●封堵某些禁止的业务
　　●记录通过防火墙的信息内容和活动
　　●对网络攻击进行检测和报警
　　为实现以上功能，在防火墙产品的开发中，人们广泛应用网络拓扑技术、计算机操作系统技术、路由技术、加密技术、访问控制技术、安全审计技术等。
　　综观国内外防火墙产品的发展历史，发现世界著名的防火墙厂商的产品，包括CheckPoint的Firewall-1、CISCO的PIX、NetScreen等等，都没有在防火墙上直接集成防病毒的模块，为什么呢？因为，防火墙上集成病毒检测会有极大的弊端，主要表现在几个方面。
　　
　　使防火墙性能大幅下降
　　众所周知，病毒检测需要对进出的数据进行病毒代码的匹配，防火墙如果内置了防病毒模块，就需要在防火墙核心包过滤模块之前或之后进行病毒代码的匹配和检测。这个匹配的过程要比状态检测模块中进行过滤的过程更加消耗系统的资源，占用大量的内存和CPU等，对防火墙的性能下降非常明显，几乎可以达到用户无法接受的程度。这一点是绝大多数防火墙没有内置病毒检测模块的根本原因。
　　
　　增大防火墙的安全隐患
　　大家都使用过防病毒的软件，知道防病毒产品需要不断的更新防病毒引擎和病毒代码，那么如果防火墙内核部分集成了防病毒的引擎，则需要不断的更新病毒引擎和病毒代码。
　　有的防病毒厂商的软件升级更新非常快，平均一周要更新一到三次，如此频繁的更新、升级速度，会使防火墙预留的病毒升级接口利用非常频繁，会经常调用病毒升级的API，这样对防火墙的安全性、稳定性都是一个极大的挑战。
　　反之，如果不经常升级和更新，或者很久才进行升级和更新，又失去了防病毒的意义，因为世界上每天都会有新的病毒产生！
　　基于以上分析可知，现在的防火墙体系决定了：防火墙中不能内置防病毒模块。那些宣称防火墙可以直接查、杀病毒的产品只不过是一种宣传手段罢了。
　　目前，国际上通用的对网关防病毒的做法是将防火墙上的数据引导到另外的专门进行病毒检测的服务器上进行，向Firewall-1等等，而不是直接在防火墙上进行病毒检测。
　　（本文由东软网络软件事业部业务总监王虎提供）