防火墙的分类目前防火墙主要分为三种,滤、应用代理、状态监测
滤防火墙:现在静态滤防护墙市面上已经看不到了,取而代之的是动态滤技术的防火墙。
代理防火墙:因为一些特殊的报文可以轻松突破滤防火墙的保护,比如SYN攻击、ICMP洪水攻击,所以代理服务器作为专门为用户保密或者突破访问权限的数据转发通道应用防火墙出现了。其实用了一种应用协议分析的新技术。
状态监测防火墙:基于动态滤发展而来,加入了一种状态监测的模块,近一点发展会话过来功能,会话状态的保留是有时间限制的。
在国内也出现一些比较好的产品,例如华为的USG系列,深信服等等。华为防火墙产品主要包括USG2000、USG5000、USG6000和USG9500四大系列,涵盖低、中、设备,型号齐全功能丰富,佛山防火墙软件,完全能够满足各种网络环境的需求。
安全区域在学习防护墙之前先要了解关于安全区域的概念,安全区域是一个或多个接口的集合,是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络、标识报文流动的“路线”,当报文在不同的安全区域之间流动时,华为防火墙软件,才会触发安全检查。
华为防火墙默认情况下提供了三个安全区域,分别是Trust、DMZ和Untrust,光从名字看就知道这三个安全区域很有内涵。Trust区域,该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。DMZ区域2,该区域内网络的受信任程度中等,通常用来定义内部服务器所在的网络。Untrust区域,该区域代表的是不受信任的网络,通常用来定义Internet等不安全的网络。
能力1:管理对NGFW的探索起源于统一安全管理平台。NGFW需要强大的安全管理能力与***的功能来满足现代企业的分布式网络——包括了云、数据中心、移动设备、电脑以及物联网设备。安全管理不只是安全策略以及设备设置,还需要兼顾使用的便利性、操作的效率、以及平台的统一能力。
能力2:威胁防护威胁防护的核心技术包括反***、反病毒、反机器人。这些技术需求超过了传统防火墙通过硬件集成IPS进行防护的方式。云端的分析能力与威胁情报能提供更多的威胁防护能力,比如恶意软件特征的自动升级等。
能力3:应用检查与控制随着规模的扩展,企业需要选择拥有足够强大的应用支持能力的防火墙去识别新型的、复杂的应用。防火墙逐渐拥有更广、更深都的识别能力,同时更为智能,应对动态的变化。
能力4:基于身份的动态检查与控制传统的防火墙规则只是基于了IP地址,但是由于动态地址、云架构以及组策略的出现,这一方式需要升级。企业需要防火墙能够支持更多的策略,包括第三方商店、公有云与私有云对象、包括Office 365和AWS地理位置信息在内的外部服务、以及物联网为代表的新设备类型。
能力5:混合云支持为了满足越来越多的“云优先”企业,防火墙需要能够有对云环境的自动化编排能力。这可以通过用基于动态工作负载与***的消耗模型,软件防火墙报价,提供可扩展的服务。
能力6:拥有安全功能的可扩展服务NGFW需要随着用户需求的增加,有可扩展的能力。NGFW不能因为硬件性能产生局限,从而导致***和机构无法部署的威胁防护技术与算法。
能力7:加密流量检测近,谷歌研究发现,在由终端用户的Chrome浏览器活动产生的流量中,超过90%的流量是加密流量。由于加密流量的增加以及网络威胁变得越来并更具***性,防火墙需要有能力检测加密流量并执行相关的控制策略与主动威胁防御。
①、1989年至1994年
一代:1989年产生过滤防火墙,实现简单的访问控制
二代:在应用层代理内部网络和外部网络之间通信
三代:1994年CheckPoint发布一台基于状态检测的防火墙,动态分析报文状态
1995年至2004年
状态检测防火墙已成趋势,开始增加新的功能;如:Virtual Private Network
一些专用设备出现雏形;如:WAF(Web Application Firewall)
2004年业界提出UTM(United Threat Management,统一威胁管理)概念
③、2005年至今
2004年后,UTM快速发展,出现新的问题
2008年,Polo Alto Networks 发布下一代防火墙
2009年,Gartner对下一代防火墙进行定义
版权所有©2025 产品网
