防火墻特征-數(shù)據(jù)必經(jīng)之地

內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的所有網(wǎng)絡數(shù)據(jù)流都必須經(jīng)過防火墻。這是防火墻所處網(wǎng)絡位置特性，同時也是一個前提。因為只有當防火墻是內(nèi)、外部網(wǎng)絡之間通信的通道，才可以覆蓋、有效地保護企業(yè)網(wǎng)部網(wǎng)絡不受侵害。根據(jù)美國制定的《信息保障技術框架》，防火墻適用于用戶網(wǎng)絡系統(tǒng)的邊界，屬于用戶網(wǎng)絡邊界的安全保護設備。所謂網(wǎng)絡邊界即是采用不同安全策略的兩個網(wǎng)絡連接處，比如用戶網(wǎng)絡和互聯(lián)網(wǎng)之間連接、和其它業(yè)務往來單位的網(wǎng)絡連接、用戶內(nèi)部網(wǎng)絡不同部門之間的連接等。防火墻的目的就是在網(wǎng)絡連接之間建立一個安全控制點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進、出內(nèi)部網(wǎng)絡的服務和訪問的審計和控制。

防火墻的基本功能

防火墻基本的功能是確保網(wǎng)絡流量的合法性，并在此前提下將網(wǎng)絡的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。早的防火墻模型開始談起，原始的防火墻是一臺“雙穴主機”，即具備兩個網(wǎng)絡接口，同時擁有兩個網(wǎng)絡層地址。防火墻將網(wǎng)絡上的流量通過相應的網(wǎng)絡接口接收上來，按照OSI協(xié)議棧的七層結構順序上傳，在適當?shù)膮f(xié)議層進行訪問規(guī)則和安全審查，然后將符合通過條件的報文從相應的網(wǎng)絡接口送出，而對于那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火墻是一個類似于橋接或路由器的、多端口的（網(wǎng)絡接口>=2）轉(zhuǎn)發(fā)設備，它跨接于多個分離的物理網(wǎng)段之間，并在報文轉(zhuǎn)發(fā)過程之中完成對報文的審查工作。

防火墻的過濾技術

過濾技術一般只應用于OSI7層的模型網(wǎng)絡層的數(shù)據(jù)中，其能夠完成對防火墻的狀態(tài)檢測，從而預先可以把邏輯策略進行確定。邏輯策略主要針對地址、端口與源地址，通過防火墻所有的數(shù)據(jù)都需要進行分析，如果數(shù)據(jù)包內(nèi)具有的信息和策略要求是不相符的，則其數(shù)據(jù)包就能夠順利通過，如果是完全相符的，則其數(shù)據(jù)包就被迅速攔截。

下一代防火墻功能

基礎防火墻功能

支持多種形式的鏈路接入、負載均衡、NAT、路由協(xié)議、VPN、高可用性等，并具備掃描、異常數(shù)據(jù)包等傳統(tǒng)網(wǎng)絡攻擊的防護能力。下一代防火墻可滿足用戶基本的組網(wǎng)和安全需求。

應用識別與控制

下一代防火墻能夠?qū)ヂ?lián)網(wǎng)應用、移動應用以及網(wǎng)址進行識別和控制，并結合多種用戶認證、終端識別技術，幫助用戶進行基于應用、用戶、終端內(nèi)容的多維度精細化訪問控制和流量管理。

一體化威脅防護

融合病毒防護（AV）、防御（IPS）等安全模塊，對抗漏洞、病毒、惡意代碼、木馬程序、間、惡意網(wǎng)址等新型網(wǎng)絡威脅，同時可保障的安全功能交付。

信息泄露防護

對郵件、網(wǎng)盤、論壇等文件傳輸行為進行深入的內(nèi)容級過濾，并對郵件外發(fā)、論壇等內(nèi)容進行審計。下一代防火墻通過內(nèi)置及用戶自定義的敏感信息特征庫，并結合靈活的自定義策略規(guī)則，在網(wǎng)關位置實現(xiàn)信息泄露防護。

可視化智能管理

通過一體化引擎多安全模塊數(shù)據(jù)聯(lián)動，下一代防火墻能夠?qū)崿F(xiàn)應用、IP/用戶、內(nèi)容、威脅、地理位置、策略命中等信息的全維度關聯(lián)，幫助用戶洞悉流量、風險及威脅，并結合便捷的人機交互界面進行管理。