目前大多数防火墙还是传统的基于五元组的防火墙，我觉得这太差劲了，我认为只有第七层防火墙才是真正的防火墙，五元组不能标示一个应用，正如tcp的80端口并不总是代表http一样，想要标示一个应用，你必须去分析第七层的协议头，而不是联合第三层，第四层的协议头，毕竟我们需要匹配一个第七层的应用，那就要需要第七层的协议头！然而第七层解析的问题何在？我觉得这有两方面，第一方面是谁提供了匹配的内容，也就是协议头的匹配规则，另一个就是必须保证匹配时间可预测而不是尽可能的快，这样随机处理才不会带来不可预知的混乱。对于第一个问题，正如上网行为关系系统的数据库一样，必须从一个可信的站点来下载协议匹配规则，这正是目标倡导的内容为王的根本，对于第二个问题，还是回归到了计算机问题的本质，那就是算法。

 本文转自 dog250 51CTO博客，原文链接:http://blog.51cto.com/dog250/1268926