防火墻特征-數據必經之地

內部網絡和外部網絡之間的所有網絡數據流都必須經過防火墻。這是防火墻所處網絡位置特性，同時也是一個前提。因為只有當防火墻是內、外部網絡之間通信的通道，才可以覆蓋、有效地保護企業(yè)網部網絡不受侵害。根據美國制定的《信息保障技術框架》，防火墻適用于用戶網絡系統(tǒng)的邊界，屬于用戶網絡邊界的安全保護設備。所謂網絡邊界即是采用不同安全策略的兩個網絡連接處，比如用戶網絡和互聯(lián)網之間連接、和其它業(yè)務往來單位的網絡連接、用戶內部網絡不同部門之間的連接等。防火墻的目的就是在網絡連接之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火墻的數據流，實現(xiàn)對進、出內部網絡的服務和訪問的審計和控制。

防火墻的基本功能

防火墻基本的功能是確保網絡流量的合法性，并在此前提下將網絡的流量快速的從一條鏈路轉發(fā)到另外的鏈路上去。早的防火墻模型開始談起，原始的防火墻是一臺“雙穴主機”，即具備兩個網絡接口，同時擁有兩個網絡層地址。防火墻將網絡上的流量通過相應的網絡接口接收上來，按照OSI協(xié)議棧的七層結構順序上傳，在適當的協(xié)議層進行訪問規(guī)則和安全審查，然后將符合通過條件的報文從相應的網絡接口送出，而對于那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火墻是一個類似于橋接或路由器的、多端口的（網絡接口>=2）轉發(fā)設備，它跨接于多個分離的物理網段之間，并在報文轉發(fā)過程之中完成對報文的審查工作。

防火墻的過濾技術

過濾技術一般只應用于OSI7層的模型網絡層的數據中，其能夠完成對防火墻的狀態(tài)檢測，從而預先可以把邏輯策略進行確定。邏輯策略主要針對地址、端口與源地址，通過防火墻所有的數據都需要進行分析，如果數據包內具有的信息和策略要求是不相符的，則其數據包就能夠順利通過，如果是完全相符的，則其數據包就被迅速攔截。

下一代防火墻功能

基礎防火墻功能

支持多種形式的鏈路接入、負載均衡、NAT、路由協(xié)議、VPN、高可用性等，并具備掃描、異常數據包等傳統(tǒng)網絡攻擊的防護能力。下一代防火墻可滿足用戶基本的組網和安全需求。

應用識別與控制

下一代防火墻能夠對互聯(lián)網應用、移動應用以及網址進行識別和控制，并結合多種用戶認證、終端識別技術，幫助用戶進行基于應用、用戶、終端內容的多維度精細化訪問控制和流量管理。

一體化威脅防護

融合病毒防護（AV）、防御（IPS）等安全模塊，對抗漏洞、病毒、惡意代碼、木馬程序、間、惡意網址等新型網絡威脅，同時可保障的安全功能交付。

信息泄露防護

對郵件、網盤、論壇等文件傳輸行為進行深入的內容級過濾，并對郵件外發(fā)、論壇等內容進行審計。下一代防火墻通過內置及用戶自定義的敏感信息特征庫，并結合靈活的自定義策略規(guī)則，在網關位置實現(xiàn)信息泄露防護。

可視化智能管理

通過一體化引擎多安全模塊數據聯(lián)動，下一代防火墻能夠實現(xiàn)應用、IP/用戶、內容、威脅、地理位置、策略命中等信息的全維度關聯(lián)，幫助用戶洞悉流量、風險及威脅，并結合便捷的人機交互界面進行管理。