防火牆的主要技術特點

　　（一）內部網絡和外部網絡之間的所有網絡數據流都必須經過防火牆

　　這是防火牆所處網絡位置特性，同時也是一個前提。因為只有當防火牆是內、外部網絡之間通信的唯一通道，才可以全面、有效地保護企業網內部網絡不受侵害。

　　根據美國國家安全局制定的《信息保障技術框架》，防火牆適用於用戶網絡系統的邊界，屬於用戶網絡邊界的安全保護設備。所謂網絡邊界即是採用不同安全策略的兩個網絡連接處，比如用戶網絡和網際網路之間連接、和其它業務往來單位的網絡連接、用戶內部網絡不同部門之間的連接等。防火牆的目的就是在網絡連接之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火牆的數據流，實現對進、出內部網絡的服務和訪問的審計和控制。

　　（二）只有符合安全策略的數據流才能通過防火牆

　　防火牆最基本的功能是確保網絡流量的合法性，並在此前提下將網絡的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的防火牆模型開始談起，原始的防火牆是一台「雙穴主機」，即具備兩個網絡接口，同時擁有兩個網絡層地址。防火牆將網絡上的流量通過相應的網絡接口接收上來，按照OSI協議棧的七層結構順序上傳，在適當的協議層進行訪問規則和安全審查，然後將符合通過條件的報文從相應的網絡接口送出，而對於那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火牆是一個類似於橋接或路由器的、多埠的（網絡接口》=2）轉發設備，它跨接於多個分離的物理網段之間，並在報文轉發過程之中完成對報文的審查工作。

　　（三）防火牆自身應具有非常強的抗攻擊免疫力

　　這是防火牆之所以能擔當企業內部網絡安全防護重任的先決條件。防火牆處於網絡邊緣，它就像一個邊界衛士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這麼強的本領防火牆作業系統本身是關鍵，只有自身具有完整信任關係的作業系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能，除了專門的防火牆嵌入系統外，再沒有其它應用程式在防火牆上運行。當然這些安全性也只能說是相對的。

　　目前國內的防火牆幾乎被國外的品牌占據了一半的市場，國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火牆廠商對國內用戶了解更加透徹，價格上也更具有優勢。防火牆產品中，國外主流廠商為思科（Cisco）、CheckPoint、NetScreen等，國內主流廠商為東軟、天融信、山石網科、網御神州、聯想、方正等，它們都提供不同級別的防火牆產品。

　　（四）應用層防火牆具備更細緻的防護能力

　　自從Gartner提出下一代防火牆概念以來，信息安全行業越來越認識到應用層攻擊成為當下取代傳統攻擊，最大程度危害用戶的信息安全，而傳統防火牆由於不具備區分埠和應用的能力，以至於傳統防火牆僅僅只能防禦傳統的攻擊，基於應用層的攻擊則毫無辦法。

　　從2011年開始，國內廠家通過多年的技術積累，開始推出下一代防火牆，在國內從第一家推出真正意義的下一代防火牆的網康科技開始，至今包擴東軟，天融信等在內的傳統防火牆廠商也開始相互效仿，陸續推出了下一代防火牆，下一代防火牆具備應用層分析的能力，能夠基於不同的應用特徵，實現應用層的攻擊過濾，在具備傳統防火牆、IPS、防毒等功能 的同時，還能夠對用戶和內容進行識別管理，兼具了應用層的高性能和智能聯動兩大特性，能夠更好的針對應用層攻擊進行防護。

　　（五）資料庫防火牆針對資料庫惡意攻擊的阻斷能力

　　虛擬補丁技術：針對CVE公布的資料庫漏洞，提供漏洞特徵檢測技術。

　　高危訪問控制技術：提供對資料庫用戶的登錄、操作行為，提供根據地點、時間、用戶、操作類型、對象等特徵定義高危訪問行為。

　　SQL注入禁止技術：提供SQL注入特徵庫。

　　返回行超標禁止技術：提供對敏感表的返回行數控制。

　　SQL黑名單技術：提供對非法SQL的語法抽象描述。

　　代理服務

　　代理服務設備（可能是一台專屬的硬體，或只是普通機器上的一套軟體）也能像應用程式一樣回應輸入封包（例如連接要求），同時封鎖其他的封包，達到類似於防火牆的效果。

　　代理使得由外在網絡竄改一個內部系統更加困難，並且一個內部系統誤用不一定會導致一個安全漏洞可從防火牆外面（只要應用代理剩下的原封和適當地被配置）被入侵。相反地，入侵者也許劫持一個公開可及的系統和使用它作為代理人為他們自己的目的；代理人然後偽裝作為那個系統對其它內部機器。當對內部地址空間的用途加強安全，破壞狂也許仍然使用方法譬如IP 欺騙試圖通過小包對目標網絡。

　　防火牆經常有網絡地址轉換（NAT）的功能，並且主機被保護在防火牆之後共同地使用所謂的「私人地址空間」，依照被定義在［RFC 1918］。管理員經常設置了這樣的情節：假裝內部地址或網絡是安全的。

　　防火牆的適當的配置要求技巧和智能。 它要求管理員對網絡協議和電腦安全有深入的了解。 因小差錯可使防火牆不能作為安全工具。

　　主要優點

　　（1）防火牆能強化安全策略。

　　（2）防火牆能有效地記錄Internet上的活動。

　　（3）防火牆限制暴露用戶點。防火牆能夠用來隔開網絡中一個網段與另一個網段。這樣，能夠防止影響一個網段的問題通過整個網絡傳播。

　　（4）防火牆是一個安全策略的檢查站。所有進出的信息都必須通過防火牆，防火牆便成為安全問題的檢查點，使可疑的訪問被拒絕於門外。

更多防火牆行業研究分析，詳見中國報告大廳《防火牆行業報告匯總》。這裡匯聚海量專業資料，深度剖析各行業發展態勢與趨勢，為您的決策提供堅實依據。

更多詳細的行業數據盡在【資料庫】，涵蓋了宏觀數據、產量數據、進出口數據、價格數據及上市公司財務數據等各類型數據內容。