防火墻特征-抗攻擊

防火墻自身應(yīng)具有非常強的抗攻擊力：這是防火墻之所以能擔當企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護重任的先決條件。防火墻處于網(wǎng)絡(luò)邊緣，它就像一個邊界衛(wèi)士一樣，每時每刻都要面對不法的侵入，這樣就要求防火墻自身要具有非常強的抗擊侵入本領(lǐng)。它之所以具有這么強的本領(lǐng)防火墻操作系統(tǒng)本身是關(guān)鍵，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。其次就是防火墻自身具有非常低的服務(wù)功能，除了專門的防火墻嵌入系統(tǒng)外，再沒有其它應(yīng)用程序在防火墻上運行。

防火墻的作用

網(wǎng)絡(luò)開放式防病毒技術(shù)是一種讓用戶自我更新的防病毒技術(shù)，它將病毒的結(jié)構(gòu)用一個統(tǒng)一的數(shù)據(jù)結(jié)構(gòu)加以描述，用戶可根據(jù)對病毒的一些特征進行分析，通過特征識別隨時更新自己的病毒庫，從而自己就使防病毒產(chǎn)品升級，以達到和新病毒的對抗。計算機網(wǎng)絡(luò)技術(shù)及病毒技術(shù)的迅速發(fā)展使人們完全有理由深信；會有更多更好的防病毒產(chǎn)品推出，這些技術(shù)會越來越成熟、越來越完善。

硬件防毒技術(shù)防火墻

CPU內(nèi)嵌的防病毒技術(shù)是一種硬件防病毒技術(shù)，與操作系統(tǒng)相配合，可以防范大部分針對緩沖區(qū)溢出（buffer overrun）漏洞的攻擊（大部分是病毒）。Intel的防病毒技術(shù)是EDB（Execute Disable Bit），AMD的防病毒技術(shù)是EVP（Ehanced Virus Protection），但不管叫什么，它們的原理都是大同小異的。嚴格來說，目前各個CPU廠商在CPU內(nèi)部集成的防病毒技術(shù)不能稱之為“硬件防毒”。

下一代防火墻的革新

應(yīng)用識別是防火墻未來發(fā)展的重要技術(shù)方向，基于應(yīng)用的攻擊不斷變化，也要求防御技術(shù)必須有所提升。

下一代防火墻在性能、安全性、易用性、可管理性等方面有了質(zhì)的飛躍，滿足用戶新的防御和管理需求。相比傳統(tǒng)防火墻和UTM（統(tǒng)一威脅管理，Unified Threat Management），下一代防火墻與它們的主要區(qū)別在于：

1）傳統(tǒng)防火墻局限于IP地址、接口層面的安全防護。從基于簡單濾技術(shù)防火墻到基于狀態(tài)檢測技術(shù)的防火墻，重點的防護還僅僅是停留在OSI模型的四層以內(nèi)；

2）UTM是在“瘦防火墻”基礎(chǔ)上發(fā)展而來的，集防火墻、IPS、VPN等安全功能于一體的集成安全網(wǎng)關(guān)，其不足之處在于處理機制煩瑣，效率低下，內(nèi)部安全模塊間缺少智能關(guān)聯(lián)；

3）下一代防火墻除了具備傳統(tǒng)防火墻功能外，更關(guān)注針對應(yīng)用層面的安全防護。實時性、準確性、性也成為下一代防火墻的主要特點。它會根據(jù)深度包檢測引擎的檢測結(jié)果，自動識別到該流量在應(yīng)用層執(zhí)行的安全策略。流量控制需要更“精細化”的管理，不僅僅能夠?qū)Ξ惓９袅髁窟M行阻止或允許動作，更可用來進行基于應(yīng)用層的QoS控制，控制粒度更為細致。