防火墙--云服科技-民治防火墙

下一代防火墙为什么敢叫“下一代”防火墙？

首先我们来分析传统网络防火墙的主要功能

1、网络区域划分：对互联互通的网络进行区域划分，zui小化安全域，控制安全事件的影响范围；

2、区域边界隔离：防火墙部署在区域之间，阻断区域之间的互联互通，防范跨区域安全事件的发生；

3、边界访问控制：通过配置访问控制策略，灵活控制可通过边界的对象身份和权限，满足正常业务需求。

随着互联网的不断发展，---对企业来说，已经变得越来越重要。  当下的安全现状主要是：内忧外患（内：资产业务增多，管理复杂；外：各种新型---攻击，防火墙-测试，网络外部威胁不断增加）。而在重金防护下，---防不住已经成为常态。

传统网络防火墙的防御存在以下缺陷或者说不足：      

1、缺乏事前的风险预知，看不到潜在风险，让防御很被动；      

2、事中防御主要针对网络层，而根据研究报告---，现阶段---超过75%的攻击落在了应用层，因此，事中的防御针对性不足，防火墙-，防不住；      

3、缺乏事后的检测和响应机制，往往导致网络中还残缺着一定风险，比如黑链和肉鸡等；而面对各种新型攻击，传统网络防火墙早就已经“招架不住了”。因此，急需要一款技术性---、联动性---、---的安全防护设备来对网络信息安全进行全fang位的防护。

在此基础上，云服公司“下一代防火墙”应运而生。云服公司下一代防火墙提出“融合安全，防火墙-检测，简单有效”的价值主张。

2）状态检测防火墙

工作层次——3/4/5层

工作原理——维持会话表通信状态；会话表包括五个元素（源目的ip，源目的端口，协议号）

优点：可以识别会话状态控制通信；

能动态生成放通回程报文的策略。

缺点：不能防范应用层攻击、应用data不能检测、对ftp等多连接应用兼容性差。

3）应用代理防火墙

工作层次——3/4/5/7层

工作原理——应用数据data检查:动态协商的端口、url、 ftp操作指令、http请 求方法等，允许动态通道(端口都是随机动态协商的，如ftp )的数据进入防火墙。

优点：可以检测应用层数据，防范简单的应用层攻击；

缺点：软件处理，消耗资源。