防火墻的基本功能

防火墻基本的功能是確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。早的防火墻模型開始談起，原始的防火墻是一臺(tái)“雙穴主機(jī)”，即具備兩個(gè)網(wǎng)絡(luò)接口，同時(shí)擁有兩個(gè)網(wǎng)絡(luò)層地址。防火墻將網(wǎng)絡(luò)上的流量通過相應(yīng)的網(wǎng)絡(luò)接口接收上來，按照OSI協(xié)議棧的七層結(jié)構(gòu)順序上傳，在適當(dāng)?shù)膮f(xié)議層進(jìn)行訪問規(guī)則和安全審查，然后將符合通過條件的報(bào)文從相應(yīng)的網(wǎng)絡(luò)接口送出，而對(duì)于那些不符合通過條件的報(bào)文則予以阻斷。因此，從這個(gè)角度上來說，防火墻是一個(gè)類似于橋接或路由器的、多端口的（網(wǎng)絡(luò)接口>=2）轉(zhuǎn)發(fā)設(shè)備，它跨接于多個(gè)分離的物理網(wǎng)段之間，并在報(bào)文轉(zhuǎn)發(fā)過程之中完成對(duì)報(bào)文的審查工作。

基于服務(wù)器的防毒防火墻

服務(wù)器是網(wǎng)絡(luò)的核心，一旦服務(wù)器被病毒，就會(huì)使服務(wù)器無法啟動(dòng)，整個(gè)網(wǎng)絡(luò)陷于癱瘓，造成災(zāi)難性后果。目前基于服務(wù)器的防毒方法大都采用了NLM(NetWare Load Module)技術(shù)以NLM模塊方式進(jìn)行程序設(shè)計(jì)，以服務(wù)器為基礎(chǔ)，提供實(shí)時(shí)掃描病毒能力。市場(chǎng)上的產(chǎn)品如Central Point公司的AntiVirus for Networks，Intel公司的LANdesk Virus Protect以及南京威爾德電腦公司的Lanclear for NetWare等都是采用了以服務(wù)器為基礎(chǔ)的防病毒技術(shù)。

硬件防毒技術(shù)防火墻

CPU內(nèi)嵌的防病毒技術(shù)是一種硬件防病毒技術(shù)，與操作系統(tǒng)相配合，可以防范大部分針對(duì)緩沖區(qū)溢出（buffer overrun）漏洞的攻擊（大部分是病毒）。Intel的防病毒技術(shù)是EDB（Execute Disable Bit），AMD的防病毒技術(shù)是EVP（Ehanced Virus Protection），但不管叫什么，它們的原理都是大同小異的。嚴(yán)格來說，目前各個(gè)CPU廠商在CPU內(nèi)部集成的防病毒技術(shù)不能稱之為“硬件防毒”。

下一代防火墻：安全審計(jì)與集中管理

下一代防火墻支持系統(tǒng)日志、配置日志、流量日志、攻擊日志及會(huì)話日志等類型日志的海量信息記錄，可配合的安全審計(jì)平臺(tái)，為用戶提供上網(wǎng)訪問行為的監(jiān)管和審計(jì)，滿足合規(guī)性監(jiān)管要求。

下一代防火墻支持集中管理，借助HSM安全管理平臺(tái)，可對(duì)多設(shè)備進(jìn)行統(tǒng)一策略管理、設(shè)備配置管理及實(shí)時(shí)安全監(jiān)控，從而實(shí)現(xiàn)網(wǎng)絡(luò)的快速部署以及發(fā)生安全事件的及時(shí)響應(yīng)，提高管理效率，降低運(yùn)維成本。

下一代防火墻支持通過web和手機(jī)APP 實(shí)時(shí)監(jiān)控多設(shè)備的CPU、內(nèi)存、流量趨勢(shì)，以及應(yīng)用、用戶排名、威脅信息，還為用戶提供7×24 小時(shí)告控，便于用戶能夠及時(shí)獲知網(wǎng)絡(luò)中的動(dòng)態(tài)變化及安全風(fēng)險(xiǎn)。