流行的防火墻是多數(shù)組織主要的邊界防御。

基于網(wǎng)絡(luò)的防火墻已經(jīng)在美國(guó)企業(yè)無(wú)處不在，因?yàn)樗鼈冏C實(shí)了抵御日益增長(zhǎng)的威脅的防御能力。

通過(guò)網(wǎng)絡(luò)測(cè)試公司 NSS 實(shí)驗(yàn)室最近的一項(xiàng)研究發(fā)現(xiàn)，高達(dá) 80% 的美國(guó)大型企業(yè)運(yùn)行著下一代防火墻。研究公司 IDC 評(píng)估防火墻和相關(guān)的統(tǒng)一威脅管理市場(chǎng)的營(yíng)業(yè)額在 2015 是 76 億美元，預(yù)計(jì)到 2020 年底將達(dá)到 127 億美元。

什么是防火墻？

防火墻作為一個(gè)邊界防御工具，其監(jiān)控流量——要么允許它、要么屏蔽它。 多年來(lái)，防火墻的功能不斷增強(qiáng)，現(xiàn)在大多數(shù)防火墻不僅可以阻止已知的一些威脅、執(zhí)行高級(jí)訪問(wèn)控制列表策略，還可以深入檢查流量中的每個(gè)數(shù)據(jù)包，并測(cè)試包以確定它們是否安全。大多數(shù)防火墻都部署為用于處理流量的網(wǎng)絡(luò)硬件，和允許終端用戶配置和管理系統(tǒng)的軟件。越來(lái)越多的軟件版防火墻部署到高度虛擬化的環(huán)境中，以在被隔離的網(wǎng)絡(luò)或 IaaS 公有云中執(zhí)行策略。

隨著防火墻技術(shù)的進(jìn)步，在過(guò)去十年中創(chuàng)造了新的防火墻部署選擇，所以現(xiàn)在對(duì)于部署防火墻的最終用戶來(lái)說(shuō)，有了更多選擇。這些選擇包括：

有狀態(tài)的防火墻

當(dāng)防火墻首次創(chuàng)造出來(lái)時(shí)，它們是無(wú)狀態(tài)的，這意味著流量所通過(guò)的硬件當(dāng)單獨(dú)地檢查被監(jiān)視的每個(gè)網(wǎng)絡(luò)流量包時(shí)，屏蔽或允許是隔離的。從 1990 年代中后期開(kāi)始，防火墻的第一個(gè)主要進(jìn)展是引入了狀態(tài)。有狀態(tài)防火墻在更全面的上下文中檢查流量，同時(shí)考慮到網(wǎng)絡(luò)連接的工作狀態(tài)和特性，以提供更全面的防火墻。例如，維持這個(gè)狀態(tài)的防火墻可以允許某些流量訪問(wèn)某些用戶，同時(shí)對(duì)其他用戶阻塞同一流量。

基于代理的防火墻

這些防火墻充當(dāng)請(qǐng)求數(shù)據(jù)的最終用戶和數(shù)據(jù)源之間的網(wǎng)關(guān)。在傳遞給最終用戶之前，所有的流量都通過(guò)這個(gè)代理過(guò)濾。這通過(guò)掩飾信息的原始請(qǐng)求者的身份來(lái)保護(hù)客戶端不受威脅。

Web 應(yīng)用防火墻（WAF）

這些防火墻位于特定應(yīng)用的前面，而不是在更廣闊的網(wǎng)絡(luò)的入口或者出口上?；诖淼姆阑饓νǔ１徽J(rèn)為是保護(hù)終端客戶的，而 WAF 則被認(rèn)為是保護(hù)應(yīng)用服務(wù)器的。

防火墻硬件

防火墻硬件通常是一個(gè)簡(jiǎn)單的服務(wù)器，它可以充當(dāng)路由器來(lái)過(guò)濾流量和運(yùn)行防火墻軟件。這些設(shè)備放置在企業(yè)網(wǎng)絡(luò)的邊緣，位于路由器和 Internet 服務(wù)提供商（ISP）的連接點(diǎn)之間。通常企業(yè)可能在整個(gè)數(shù)據(jù)中心部署十幾個(gè)物理防火墻。 用戶需要根據(jù)用戶基數(shù)的大小和 Internet 連接的速率來(lái)確定防火墻需要支持的吞吐量容量。

防火墻軟件

通常，終端用戶部署多個(gè)防火墻硬件端和一個(gè)中央防火墻軟件系統(tǒng)來(lái)管理該部署。 這個(gè)中心系統(tǒng)是配置策略和特性的地方，在那里可以進(jìn)行分析，并可以對(duì)威脅作出響應(yīng)。

下一代防火墻（NGFW）

多年來(lái)，防火墻增加了多種新的特性，包括深度包檢查、入侵檢測(cè)和防御以及對(duì)加密流量的檢查。下一代防火墻（NGFW）是指集成了許多先進(jìn)的功能的防火墻。

有狀態(tài)的檢測(cè)

阻止已知不需要的流量，這是基本的防火墻功能。

反病毒

在網(wǎng)絡(luò)流量中搜索已知病毒和漏洞，這個(gè)功能有助于防火墻接收最新威脅的更新，并不斷更新以保護(hù)它們。

入侵防御系統(tǒng)（IPS）

這類安全產(chǎn)品可以部署為一個(gè)獨(dú)立的產(chǎn)品，但 IPS 功能正逐步融入 NGFW。 雖然基本的防火墻技術(shù)可以識(shí)別和阻止某些類型的網(wǎng)絡(luò)流量，但 IPS 使用更細(xì)粒度的安全措施，如簽名跟蹤和異常檢測(cè)，以防止不必要的威脅進(jìn)入公司網(wǎng)絡(luò)。 這一技術(shù)的以前版本是入侵檢測(cè)系統(tǒng)（IDS），其重點(diǎn)是識(shí)別威脅而不是遏制它們，已經(jīng)被 IPS 系統(tǒng)取代了。

深度包檢測(cè)（DPI）

DPI 可作為 IPS 的一部分或與其結(jié)合使用，但其仍然成為一個(gè) NGFW 的重要特征，因?yàn)樗峁┘?xì)粒度分析流量的能力，可以具體到流量包頭和流量數(shù)據(jù)。DPI 還可以用來(lái)監(jiān)測(cè)出站流量，以確保敏感信息不會(huì)離開(kāi)公司網(wǎng)絡(luò)，這種技術(shù)稱為數(shù)據(jù)丟失防御（DLP）。

SSL 檢測(cè)

安全套接字層（SSL）檢測(cè)是一個(gè)檢測(cè)加密流量來(lái)測(cè)試威脅的方法。隨著越來(lái)越多的流量進(jìn)行加密，SSL 檢測(cè)成為 NGFW 正在實(shí)施的 DPI 技術(shù)的一個(gè)重要組成部分。SSL 檢測(cè)作為一個(gè)緩沖區(qū)，它在送到最終目的地之前解碼流量以檢測(cè)它。

沙盒

這個(gè)是被卷入 NGFW 中的一個(gè)較新的特性，它指防火墻接收某些未知的流量或者代碼，并在一個(gè)測(cè)試環(huán)境運(yùn)行，以確定它是否存在問(wèn)題的能力。

河南億恩科技股份有限公司(1tcdy.com)始創(chuàng)于2000年，專注服務(wù)器托管租用，是國(guó)家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營(yíng)商。億恩為近五十萬(wàn)的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話：0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話：0371-60135995
服務(wù)熱線：0371-60135900