asdasda

第一代防火♀墙是基于包过滤的防火墙，时至今日这类防火墙仍在网络交换机和路□由器中以访问控制列表(ACL)的形式发挥着作用。基于包过滤的防火墙检查每ㄨ个报文，并简单的根∮据Ethernet和IP头中的字段匹配进行过滤，但不维护协议或应用的状№态信息。目前，基于包过滤的防火墙仅存在于资源有限但要求高吞↓吐量的网络设备中。

防火墙,传统防火墙

上世纪90年代出现了状态检测防火墙。大多数』状态检测防火墙运行于OSI的三层和四层。这⌒　种防火墙引入了被称为“会话”的流量状态用于追踪开放连接。会话是基于五元组(源/目的IP和端口，IP协议号)进行识别▽的。即使使用的是单向策略，建立起的会话也允许≡双向流量。会话还可以用于维护其他三层和四层信息，如TCP状态和NAT转换信息。除了维护会话外，状态检测防火◥墙还需要了解一些应用协议。有些应用(如FTP)在动态选择的TCP/UDP端▂口上打开临时会话，还有些应用(如VOIP协议)可能需要打开到第三方的会话。为了在上述环境中保持应用的可用∩性，状态检测防火墙支持应用层网关(ALG)。ALG检查应用协议的内容并动态生成临时规则允许创建这些会话。

智能时代的防火墙，又需要哪些技术来满足网络安全发展的需要呢?智能防火︻墙的特性可以概括为：对于网络状态，要有学习能力;对于网√络产生的数据，要有挖掘能力;对于网络的安全威●胁，要能做到预警;对于安全事件，要能做到可视化管ξ理。

下一代智能防火墙(iNGFW)以全网健康指数(NHI)对网络健康状态打分，以行为信誉指数(BRI)对用户◥及服务器状态打分，然后对“高危”人员或者“高危”服务器实行相应的预警或有效的控制。有了↘这样的信誉评分制，管理员就可以根据用户的信誉分数来动态调整㊣策略，决定是否让其进入》网络。这个思路的重要意义在于：将“信誉”作为第八元组引入防火◢墙的控制，使防火墙在原有的防护基础上增加了对于网↑络风险的控制。将大数据关联分析的手段用在防火墙平台上，可以充分发挥防火墙兼具检测、监控♂和控制能力于一体的优势，更好地实现联动并实时控制风险，在一台设备上就可实现有效的控☆制闭环，管』理员可以基于感知到的风险进行安全管控，在事发之前防范安全问题或系统网络中断，节省客户〓投资。