流行的防火墻是多數(shù)組織主要的邊界防御。

基于網(wǎng)絡(luò)的防火墻已經(jīng)在美國企業(yè)無處不在，因為它們證實了抵御日益增長的威脅的防御能力。

通過網(wǎng)絡(luò)測試公司 NSS 實驗室最近的一項研究發(fā)現(xiàn)，高達(dá) 80% 的美國大型企業(yè)運行著下一代防火墻。研究公司 IDC 評估防火墻和相關(guān)的統(tǒng)一威脅管理市場的營業(yè)額在 2015 是 76 億美元，預(yù)計到 2020 年底將達(dá)到 127 億美元。

什么是防火墻？

防火墻作為一個邊界防御工具，其監(jiān)控流量——要么允許它、要么屏蔽它。 多年來，防火墻的功能不斷增強，現(xiàn)在大多數(shù)防火墻不僅可以阻止已知的一些威脅、執(zhí)行高級訪問控制列表策略，還可以深入檢查流量中的每個數(shù)據(jù)包，并測試包以確定它們是否安全。大多數(shù)防火墻都部署為用于處理流量的網(wǎng)絡(luò)硬件，和允許終端用戶配置和管理系統(tǒng)的軟件。越來越多的軟件版防火墻部署到高度虛擬化的環(huán)境中，以在被隔離的網(wǎng)絡(luò)或 IaaS 公有云中執(zhí)行策略。

隨著防火墻技術(shù)的進(jìn)步，在過去十年中創(chuàng)造了新的防火墻部署選擇，所以現(xiàn)在對于部署防火墻的最終用戶來說，有了更多選擇。這些選擇包括：

有狀態(tài)的防火墻

當(dāng)防火墻首次創(chuàng)造出來時，它們是無狀態(tài)的，這意味著流量所通過的硬件當(dāng)單獨地檢查被監(jiān)視的每個網(wǎng)絡(luò)流量包時，屏蔽或允許是隔離的。從 1990 年代中后期開始，防火墻的第一個主要進(jìn)展是引入了狀態(tài)。有狀態(tài)防火墻在更全面的上下文中檢查流量，同時考慮到網(wǎng)絡(luò)連接的工作狀態(tài)和特性，以提供更全面的防火墻。例如，維持這個狀態(tài)的防火墻可以允許某些流量訪問某些用戶，同時對其他用戶阻塞同一流量。

基于代理的防火墻

這些防火墻充當(dāng)請求數(shù)據(jù)的最終用戶和數(shù)據(jù)源之間的網(wǎng)關(guān)。在傳遞給最終用戶之前，所有的流量都通過這個代理過濾。這通過掩飾信息的原始請求者的身份來保護客戶端不受威脅。

Web 應(yīng)用防火墻（WAF）

這些防火墻位于特定應(yīng)用的前面，而不是在更廣闊的網(wǎng)絡(luò)的入口或者出口上?；诖淼姆阑饓νǔ１徽J(rèn)為是保護終端客戶的，而 WAF 則被認(rèn)為是保護應(yīng)用服務(wù)器的。

防火墻硬件

防火墻硬件通常是一個簡單的服務(wù)器，它可以充當(dāng)路由器來過濾流量和運行防火墻軟件。這些設(shè)備放置在企業(yè)網(wǎng)絡(luò)的邊緣，位于路由器和 Internet 服務(wù)提供商（ISP）的連接點之間。通常企業(yè)可能在整個數(shù)據(jù)中心部署十幾個物理防火墻。 用戶需要根據(jù)用戶基數(shù)的大小和 Internet 連接的速率來確定防火墻需要支持的吞吐量容量。

防火墻軟件

通常，終端用戶部署多個防火墻硬件端和一個中央防火墻軟件系統(tǒng)來管理該部署。 這個中心系統(tǒng)是配置策略和特性的地方，在那里可以進(jìn)行分析，并可以對威脅作出響應(yīng)。

下一代防火墻（NGFW）

多年來，防火墻增加了多種新的特性，包括深度包檢查、入侵檢測和防御以及對加密流量的檢查。下一代防火墻（NGFW）是指集成了許多先進(jìn)的功能的防火墻。

有狀態(tài)的檢測

阻止已知不需要的流量，這是基本的防火墻功能。

反病毒

在網(wǎng)絡(luò)流量中搜索已知病毒和漏洞，這個功能有助于防火墻接收最新威脅的更新，并不斷更新以保護它們。

入侵防御系統(tǒng)（IPS）

這類安全產(chǎn)品可以部署為一個獨立的產(chǎn)品，但 IPS 功能正逐步融入 NGFW。 雖然基本的防火墻技術(shù)可以識別和阻止某些類型的網(wǎng)絡(luò)流量，但 IPS 使用更細(xì)粒度的安全措施，如簽名跟蹤和異常檢測，以防止不必要的威脅進(jìn)入公司網(wǎng)絡(luò)。 這一技術(shù)的以前版本是入侵檢測系統(tǒng)（IDS），其重點是識別威脅而不是遏制它們，已經(jīng)被 IPS 系統(tǒng)取代了。

深度包檢測（DPI）

DPI 可作為 IPS 的一部分或與其結(jié)合使用，但其仍然成為一個 NGFW 的重要特征，因為它提供細(xì)粒度分析流量的能力，可以具體到流量包頭和流量數(shù)據(jù)。DPI 還可以用來監(jiān)測出站流量，以確保敏感信息不會離開公司網(wǎng)絡(luò)，這種技術(shù)稱為數(shù)據(jù)丟失防御（DLP）。

SSL 檢測

安全套接字層（SSL）檢測是一個檢測加密流量來測試威脅的方法。隨著越來越多的流量進(jìn)行加密，SSL 檢測成為 NGFW 正在實施的 DPI 技術(shù)的一個重要組成部分。SSL 檢測作為一個緩沖區(qū)，它在送到最終目的地之前解碼流量以檢測它。

沙盒

這個是被卷入 NGFW 中的一個較新的特性，它指防火墻接收某些未知的流量或者代碼，并在一個測試環(huán)境運行，以確定它是否存在問題的能力。

河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年，專注服務(wù)器托管租用，是國家工信部認(rèn)定的綜合電信服務(wù)運營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機 24小時售后服務(wù)電話：0371-60135900
虛擬主機/智能建站 24小時售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報電話：0371-60135995
服務(wù)熱線：0371-60135900