網(wǎng)絡安全的屏障

防火墻（作為阻塞點、控制點）能極大地提高一個內部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內部網(wǎng)絡。防火墻同時可以保護網(wǎng)絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

復合型防火墻

截至2018年應用較為廣泛的防火墻技術當屬復合型防火墻技術，綜合了過濾防火墻技術以及應用代理防火墻技術的優(yōu)點，譬如發(fā)過來的安全策略是過濾策略，那么可以針對報文的報頭部分進行訪問控制；如果安全策略是代理策略，就可以針對報文的內容數(shù)據(jù)進行訪問控制，因此復合型防火墻技術綜合了其組成部分的優(yōu)點，同時摒棄了兩種防火墻的原有缺點，大大提高了防火墻技術在應用實踐中的靈活性和安全性。

下一代防火墻的革新

應用識別是防火墻未來發(fā)展的重要技術方向，基于應用的攻擊不斷變化，也要求防御技術必須有所提升。

下一代防火墻在性能、安全性、易用性、可管理性等方面有了質的飛躍，滿足用戶新的防御和管理需求。相比傳統(tǒng)防火墻和UTM（統(tǒng)一威脅管理，Unified Threat Management），下一代防火墻與它們的主要區(qū)別在于：

1）傳統(tǒng)防火墻局限于IP地址、接口層面的安全防護。從基于簡單濾技術防火墻到基于狀態(tài)檢測技術的防火墻，重點的防護還僅僅是停留在OSI模型的四層以內；

2）UTM是在“瘦防火墻”基礎上發(fā)展而來的，集防火墻、IPS、VPN等安全功能于一體的集成安全網(wǎng)關，其不足之處在于處理機制煩瑣，效率低下，內部安全模塊間缺少智能關聯(lián)；

3）下一代防火墻除了具備傳統(tǒng)防火墻功能外，更關注針對應用層面的安全防護。實時性、準確性、性也成為下一代防火墻的主要特點。它會根據(jù)深度包檢測引擎的檢測結果，自動識別到該流量在應用層執(zhí)行的安全策略。流量控制需要更“精細化”的管理，不僅僅能夠對異常攻擊流量進行阻止或允許動作，更可用來進行基于應用層的QoS控制，控制粒度更為細致。

下一代防火墻功能

基礎防火墻功能

支持多種形式的鏈路接入、負載均衡、NAT、路由協(xié)議、VPN、高可用性等，并具備掃描、異常數(shù)據(jù)包等傳統(tǒng)網(wǎng)絡攻擊的防護能力。下一代防火墻可滿足用戶基本的組網(wǎng)和安全需求。

應用識別與控制

下一代防火墻能夠對互聯(lián)網(wǎng)應用、移動應用以及網(wǎng)址進行識別和控制，并結合多種用戶認證、終端識別技術，幫助用戶進行基于應用、用戶、終端內容的多維度精細化訪問控制和流量管理。

一體化威脅防護

融合病毒防護（AV）、防御（IPS）等安全模塊，對抗漏洞、病毒、惡意代碼、木馬程序、間、惡意網(wǎng)址等新型網(wǎng)絡威脅，同時可保障的安全功能交付。

信息泄露防護

對郵件、網(wǎng)盤、論壇等文件傳輸行為進行深入的內容級過濾，并對郵件外發(fā)、論壇等內容進行審計。下一代防火墻通過內置及用戶自定義的敏感信息特征庫，并結合靈活的自定義策略規(guī)則，在網(wǎng)關位置實現(xiàn)信息泄露防護。

可視化智能管理

通過一體化引擎多安全模塊數(shù)據(jù)聯(lián)動，下一代防火墻能夠實現(xiàn)應用、IP/用戶、內容、威脅、地理位置、策略命中等信息的全維度關聯(lián)，幫助用戶洞悉流量、風險及威脅，并結合便捷的人機交互界面進行管理。