下一代防火墙的功能

53 0 0

下一代防火墙的执行范例包括阻止与针对细粒度网络安全策略违规情况发出警报，比如使用Web邮件、anonymizer、端到端或计算机远程控制等。仅仅根据目的地IP地址阻止对此类服务的已知源访问再也无法达到安全要求。细粒度策略会要求仅阻止发向其它允许目的地的部分类型的应用通讯，并利用重新导向功能根据明确的黑名单规则使其无法实现该通讯。这就意味着，即使有些应用程序设计可避开检测或采用SSL加密，下一代防火墙依然可识别并阻止此类程序。下一代防火墙和普通防火墙的区别有：一、功能的区别下一代防火墙可收集防火墙外的各类信息，用于改进阻止决策，或作为优化阻止规则的基础。范例中还包括利用目录集成来强化根据用户身份实施的阻止或根据地址编制黑名单与白名单。传统防火墙具有数据包过滤、网络地址转换（NAT）、协议状态检查以及VPN功能等。二、数据检测的区别下一代防火墙提供深度包检测功能，通过检查网络数据包中携带的数据，超越简单的端口和协议检查，而普通防火墙不具备深度包检测功能。三、应对威胁的区别下一代防火墙增加了应用级检查，入侵防御以及对威胁情报服务提供的数据采取行动的能力。此外，下一代防火墙扩展了NAT，PAT和VPN支持的传统防火墙功能，以在防火墙充当路由器的路由模式下以及在防火墙充当线路颠簸的透明模式下运行，同时还可以扫描数据包，并且还集成了新的威胁管理技术。