Basit olarak uygulama, paket iceriklerine pattern matching yapıyor. Bu bir supriz degil. Ancak perfomans acısından cok mantıklı olarak bir veri paketi sekansının baslangıc paketlerine bu uygulanıp ara paketlere bakılmayınca gereksiz cpu dongulerinden kacınılmıs oluyor.
Sirketlerin cok paralar vererek aldıkları firewall cozumlerinin ancak port ve ip kısıtlama gibi ilkel yontemlerle kullanılan IM, P2P ve benzerlerini kısıtlamaya calıstıgını dusundukce sasırıyorum. Istenen donanım gereksinimleri ise oldukca makul.
"Zen ve Motorsiklet Bakım sanatı" adlı kitaptaki "pahallı motorsiklet - ucuz tamir yontemi" dilemasının kafalarda asılması gokten elbette inmeyecek.
Aslına bakarsanız, paketin içinde bir şeyleri kontrol etme, (porttan bağımsız, protokol bazında) Checkpoint FW-1'ın eklentisi olan Smart Defense'de var. Kazaa, MSN, Edonkey gibi protokolleri hangi porttan gelirlerse gelsin kesebilmekte. Dahası, bünyesinde olmayan protokolleri örnekleme ile tespit edip daha sonra kesmesi bile mümkün.
Öte yandan bu alanda Linux'a bir destek gelmiş olması bence çok daha önemli bir gelişme. Zira sözkonusu ticari güvenlik duvarları/ids'lerin bir müddet çalışınca farkına vardığınız çok önemli bir handikapları var. Bu her kapalı kodlu yazılımdaki handikap aslında, bir yerde ters bir durumda kaldığınızda, sözkonusu yazılım sizin için önemli olan bir işlevle çelişkiye düştüğünde yapacak tek şeyiniz, yazılım üreticisinin bunu düzeltmesini beklemek. Onun dışında eliniz kolunuz bağlı.
İşte bu el kol bağlı olma mevzusu, gerçekten o verilen paralara yazık dedirtiyor. Halbuki bu tarafta, özgür yazılım alanında, belki de zaman zaman belli noktalarda çok daha naif araçlar kullanmak zorunda kalabiliyorsunuz, fakat hiçbir zaman yazılım üreticisine bu kadar muhtaç değilsiniz. Hede ile hödö birlikte çalışmadı mı, altından girip üstünden çıkıp çalıştırmak, belki de bir başka yazılımı daha devreye sokup problemin çevresinden dolaşmak mümkün. Ama alemin kralı gözüyle baktığınız, her sene her bir modülüne eşek yüküyle para ödediğiniz güvenlik duvarınız cluster çalıştığında VPN paketlerine kafasına göre işlem mi yapıyor? Yapacağınız tek şey bir vaka açıp beklemek.
Özgür yazılımın asıl özgür kısmı işte bu. Ve bu alanlar da Ian Murdock'ın tekrar tekrar belirttiği "enabling technologies" (imkan sağlayan teknolojiler) sayesinde gelişmekte. Bu eklenti de oldukça iyi olmuş, artık Linux'da bu alanda bir alternatif olabilecek.