【如何|如何比较和选择下一代防火墙】1、如何比较和选择下一代防火墙安全形势每天都在发生变化 。
例如 ， 企业内部的变化就包括应用程序如何 安全使用和通信 。
虽然从可用性的角度来看 ， 这种变化在很多情况下是一个好处 。
但如果处 理不当 ， 它也有可能成为信息安全人员的灾难 。
为应对这种变化 ， 企业防火墙的厂商们已经生产出了新的一代的防火墙设 备 ， 即下一代防火墙 。
这些设备在多个不同的方面都与传统的防火墙不一样 。
下面看一下这些不同点 ， 并且看看其如何影响企业的网络安全 。
什么是传统防火墙传统防火墙是一种能够控制通信进出网络内部某个点的设备 。
这种防火墙 根据运行的协议类型 ， 一般是通过使用一种无状态方法或是有状态方法来进行 工作 。
使用无状态进行监视的通信只是简单地 。

2、检查每个数据包 ， 并不能够理解数 据流 。
而使用有状态方法进行监视的通信能够在一定程度上使用监视协议跟踪 通信流 ， 并且能够在数据流的生命周期内记录其位置 。
很明显 ， 能够跟踪状态的防火墙要比不能跟踪状态的防火墙更高效 。
但 是 ， 许多传统的防火墙仅限于工作在 2层到 4层 ， 并且只能根据这些信息跟踪 通信 。
传统防火墙的其它特征还包括支持网络地址转换、端口地址转换、虚拟私 有网络（即VPN）,还能够提供高级的可用性和性能 。
什么是下一代防火墙很多安全厂商都将自己的新防火墙称为 “下一代防火墙 ”,但每家厂商产品 的特征可能与其它厂商有些不同 。
一般而言,下一代防火墙产品应当包含如下 特性：应用程序感知、状态检测、 。

3、集成入侵防御系统、身份感知 （用户和组的控 制）、桥接模式和路由模式、能够利用外部的情报源,等等 。
面详细地看看下一代防火墙的这些特性：1. 应用程序感知传统防火墙与下一代防火墙的最大不同是：下一代防火墙可以感知应用程序 。
传统的防火墙依赖常见的应用程序端口 来决定正在运行的应用程序以及攻击类型 。
而下一代防火墙设备并不是认为特 定的应用程序运行在特定的端口上 。
防火墙必须能够在第二层到第七层上监视 通信 ， 并且决定发送和接收哪类通信 。
最常见的例子是当前对 HTTP和80号端口的使用 。
传统上 ， 这个端口仅用 于HTTP的通信 ， 但如今的情况不同了 ， 而且有大量的不同应用程序都使用这个 端口在终端设备和中央服务 。

4、器之间传送通信 。
常见端口用于不同类型通信的方 法有很多种 ， 其中最常见的方法之一就是隧道技术 。
借助于隧道技术 ， 通信在 传统的HTTP数据字段内部建立隧道 ， 并在目的结点解开封装 。
从传统的防火墙 的观点看 ， 这看起来就是简单的 HTTP Web通信 ， 但对于下一代防火墙来说 ， 它 真正的目的在其能够到达目的结点之前就在防火墙上被发现了 。
如果这种通信 是由下一代防火墙的策略所允许的 ， 就放行 ;
否则 ， 防火墙将阻止通信 。
2. 身份感知传统防火墙和下一代防火墙之间的另一个很大的不同点是 ， 后者能够跟踪 本地通信设备和用户的身份 ， 它一般使用的是现有的企业认证系统（即活动目录、轻量目录访问协议 ， 等 ） 。
信息安全人员通过 。

5、这种方法就不仅能够控制允许 进出网络的通信类型 ， 还可以控制哪个特定用户可以发送和接收数据 。
3. 状态检测虽然从状态检测的一般定义上来看 ， 下一代防火墙并无不同 ， 但它不是仅 跟踪第二层到第四层的通信状态 ， 而是要能够跟踪第二层到第七层的通信状 态 。
这种不同可以使安全人员实施更多控制 ， 而且可以使管理员能够制定更精 细的策略 。
4.集成 IPS入侵防御系统（IPS能够根据几种不同的技术来检测攻击 ， 其中包括使用威胁特征、已知的漏洞利用攻击、异常活动和通信行为的分析等 。
在部署了传统防火墙的环境中 ， 入侵检测系统或入侵防御系统是经常部署的设备 。
通常 ， 这种设备的部署是通过独立的设备部署的 ， 或是通过一个设备 内部在逻 。

6、辑上独立的设备来部署的 。
而在下一代防火墙中 ， 入侵防御或入侵检 测设备应当完全地集成 。
入侵防御系统本身的功能与其在独立部署时并无不 同 ， 下一代防火墙中此功能的主要不同在于性能 ， 以及通信的所有层如何实现 对信息的访问 。

来源：(未知)

【学习资料】网址：/a/2021/0413/0021924842.html

标题：如何|如何比较和选择下一代防火墙