Beide Technologien weisen jedoch Lücken auf. Sie können zum Beispiel keine Denial of Service-Attacken identifizieren oder Angriffe mit bösartigen, aktiven Webinhalten wie Active-X oder Java Applets abwehren. Mit Paketfiltern untersucht man lediglich, ob Daten von einer bestimmten IP-Adresse durchgelassen werden oder nicht. Die Stateful Inspection-Technologie vergleicht zwar den Zustand und den Kontext einer Verbindung mit früher gesammelten Verbindungsdaten, ist aber gegen bösartigen Inhalt wenig gefeit.
Daher muss eine Firewall, selbst wenn sie Stateful Inspection mit einschließt, mit anderen Technologien wie zum Beispiel Anti-Viren-Filtern, Anti-Spam-Produkten und Application Proxies ergänzt werden. Nach dem Passieren der Firewall werden die Datenpakete dann an die entsprechenden "Sicherheitsspezialisten" geschickt.
Diese vielschichtige Lösung bedeutet zwar eine umfassende Abwehr, sie ist gleichzeitig jedoch sehr teuer, da zusätzliche Ausgaben für Hardware und Administration einkalkuliert werden müssen. Darüber hinaus führen Techniken verschiedener Hersteller zu einem hohen Aufwand für Installation und Integration. Auch das Patch-Management von vier bis fünf weiteren Systemen belegt enorme Ressourcen und erfordert in der Regel Security-Spezialisten.
Eine für vieles: Security Appliances
Um die Kosten niedrig zu halten und das Geräte-Management zu vereinfachen, entscheiden sich immer mehr Unternehmen für Security Appliances. Das sind leicht zu installierende Boxen, die eine Vielzahl von Abwehrmechanismen auf einer Plattform vereinen. Die Geräte bieten in der Regel unterschiedliche Firewall-Technologien auf Netzwerkebene. Zum Teil integrieren sie auch Web-Filter und Verschlüsselungsverfahren für VPNs.