锐捷 下一代防火墙-佛山下一代防火墙-华思特(查看)

关于下一代防火墙的讨论

、传统防火墙能解决和不能解决的问题。防火墙以城堡的吊桥做比喻非常好；传统防火墙一般是基于端口和基于状态检测的；传统防火墙一般只能拆包到数据链路层，其他层的协议它看不了；基于状态检测通俗的例子就是TCP的三次握手和SYN Flood攻击。

第二、现在的应用更多的不遵守规范，因此不利于传统防火墙的防护。传统的应用基本上都是采用的“端口 协议”的方式，例如邮件使用的就是25端口，因此封堵了该端口就相对于封堵了该应用；现在的应用基本上都不是上述方式了，会有诸如端口跳变、使用非标准端口、在常用服务内部建立通道，这些方式的存在传统防火墙无法防护。

第三、现在的应用变的越来越灰，业务应用中开始融入个人及消费类元素，例如现在很多企业内部开始实施的诸如钉钉、钉盘等。在面对这些业务时，会出现如下情况：属于实现合法业务用途的应用；属于可实现合法业务用途的应用，但在特定情况下也会被用应予封堵，因为它包含恶意软件或其他类型的威胁，即便其属于合法的业务行为于未经批准的行为

第四、现在业内有几种产品形态（深度包检测、UTM、防火墙“助手”）都形似下一代防火墙，但他们存在着如下问题深度包检测是传统架构上加载软的功能模块，基本上是一个厂家的产品，所以在功能上有前后的逻辑包解包关系，但毕竟只是在老的架构上的修补UTM主要是一个硬件盒子，在其板块上松散的集成多个厂家的产品，性能不足

第五、下一代防火墙的优势应用识别、身份识别、内容识别；架构优势（数据平面、控制平面分离；一次解包多个引擎同时分析，传统安全设备需要将包拆解后，合法的包传递到下一环节，锐捷 下一代防火墙，下一环节的设备还要进行再次拆包）

第六、下一代防火墙，核心的理念识别应用，而不是端口；识别用户，而不是IP地址；识别内容，而不是数据包

防火墙技术原理

防火墙的核心技术

1、 滤：的技术。工作在网络层，根据数据包头中的IP、端口、协议等确定是否数据包通过

2、 应用代理：另一种主要技术，工作在第7层应用层，通过编写应用代理程序，实现对应用层数据的检测和分析

3、 状态检测：工作在2－4层，控制方式与1同，处理的对象不是单个数据包，而是整个连接，通过规则表（管理人员和网络使用人员事先设定好的）和连接状态表，综合判断是否允许数据包通过。

4、 完全内容检测：需要很强的性能支撑，深信服下一代防火墙，既有滤功能、也有应用代理的功能。工作在2-7层，不仅分析数据包头信息、状态信息，而且对应用层协议进行还原和内容分析，有效防范混合型安全威胁。

滤防火墙技术原理

1、 简单滤防火墙不检查数据区

2、 简单滤防火墙不建立连接状态表

3、 前后报文无关

4、 应用层控制很弱

防火墙的核心目标

满足人类的安全需求，如同/警卫一样，站在***园林的门口，阻挡着哪些不坏好意的闯入者。对于受邀的客人，自然可以通过警卫的检查，可以自由出入。

有了防火墙的帮助，人类的安全需求得到了满足。防火墙实现的这个功能，称之为“安全”功能。

路由器衍生安全功能

路由器厂商比一般的用户更能嗅到用户的安全需求，所以很早就在路由器产品里开发出了“安全过滤”***功能、安全加密功能、甚至检测/防止系统IDS/IPS。

随着越来越多的功能模块的引入，路由器内部的流水线处理的任务越来越繁杂，这样势必会影响路由器的路由转发性能。

这些安全功能有“License”控制，用户要想使用必须购买License。

用户的购买习惯是，面对一个体积庞大的、看得见摸得着的黑箱子，很愿意掏钱包。而购买看不见摸不着的软件、License，用户往往很抠门。

针对这个消费习惯，厂商很快调整了开发产品的思路，佛山下一代防火墙，将路由器里嵌入的安全功能，搬运到一个大黑箱子，并起一个很牛叉的名字“防火墙”。

防火墙

这个名字确实很强大，下一代防火墙价格，不仅可以镇得住IT甲方的采购，还可以唬得住粗懂IT技术的老板。

防火墙提供***的安全服务，设计之初硬件做了优化。安全加密、安全过滤、深度报文检测提供了专门的加速芯片，而传统的路由器更多依赖于CPU的软件处理，所以报文的安全处理效率更高。

锐捷 下一代防火墙-佛山下一代防火墙-华思特(查看)由深圳市华思特科技有限公司提供。行路致远，砥砺前行。深圳市华思特科技有限公司（www.fastchina.net）致力成为与您共赢、共生、共同前行的战略伙伴，更矢志成为网络工程具影响力的企业，与您一起飞跃，共同成功!同时本公司（www.hst333.com）还是从事深圳华为交换机，广州华为交换机，东莞华为交换机的厂家，欢迎来电咨询。