随着国家信息安全、网络安全的建设,防火墙成为网络安全中高频出现的产品,纵观国内市场来看华为、H3C、锐捷、天融信、奇安信等等厂商已经推出了NGFW防火墙,满足当下的网络安全需求,满足等保需要等。

防火墙snmp设置(NGFW防火墙功能概述)(1)

防火墙的基础的功能例如访问控制、NAT,增值功能例如IPSEC VPN、SSL VPN、IPS、AV、WAF等。

访问控制就是基于源IP、目的IP、服务进行设置的访问控制策略,当数据包来防火墙根据安全策略进行配置,匹配到就执行对应的动作(允许、拒绝)

NAT可以分为源NAT、目的NAT、源NAT一般用于内网访问互联网,多个内网地址通过一个公网IP 端口号的形式实现共享上网。目的NAT在数通领域可以理解为端口映射,实现外网用户通过访问防火墙外网出口固定的公网IP 端口号,跳转到内网的服务器IP 端口号。

IPSEC VPN是站点到站点通过互联网建立一条虚拟的私有网络,使用MD5认证算法,3DES加密算法,DH算法实现秘钥分发的高度安全的隧道,模拟专线的效果。保障信息传递的机密性、完整性、不可否认性。IPSECVPN大多数厂商都是支持的,不同厂商的设备也可以对接IPSEC VPN,只要遵循IPSEC架构即可。

SSL VPN利用了SSL协议的VPN,实现异地通过互联网连接到企业内网,访问内网服务的VPN。SSLVPN提供身份认证,保障数据的完整性和机密性。

防火墙snmp设置(NGFW防火墙功能概述)(2)

IPS是下一代防火墙相比较早期的防火墙的优势之一,因为传统的防火墙只能识别流量的网络层和传输层,对于应用层是无法识别的,IPS的增加,极大加强了防火墙对于数据包处理的能力,能识别应用层的信息。大多数IPS是基于规则库的,基于特征库对应用层进行比对,识别出攻击程序或恶意代码,进行阻断。

AV功能是防病毒功能,大多数网络安全厂商的防病毒都是基于病毒的传播方式来设置的,例如HTTP、SMTP、POP3等等,有的厂商是有自研杀毒引擎,但是大多数还是和国内或国外的专业杀毒厂商合作。目前来看,基于流的检测效率基本上不会太好,检测率往往比较低

防火墙snmp设置(NGFW防火墙功能概述)(3)

WAF功能是WEB防护,一般防护HTTP网站或者HTTPS网站,用于应对SQL注入、网页篡改、网页挂马等,WAF的功能是基于规则库,防火墙的WAF和专业的WAF相比较还是有区别的,缺乏自学习机制。

防火墙snmp设置(NGFW防火墙功能概述)(4)

以上就是我分享的NGFW防火墙的功能特性概述,欢迎多提宝贵意见!

,