网御星云：下一代防火墙“九宫八阵图”阵法

二、防火墙如何防御新时代的威胁

2.1、应用感控技术

应用感控技术不同于传统的基于端口和协议的状态包过滤技术，这种技术能通过流量识别网络上的应用程序，基于应用ID进行智能识别与控制，同时，可以辨别出来自同一网站的不同应用并且可以启用服务质量选项为这些应用优先分配带宽。达到了六元组的新型智能应用过滤技术，既可以进行应用识别，也可以做到对应用的细粒度控制。

2.2、云安全防御技术

云安全防御技术融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，传送到服务器端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。实现立体全面的防护。

2.3、WEB主动过滤技术

这种技术通常认为是在UTM上实现，但在下一代防火墙中，这种需求也越来越明显，实际上Web过滤是指上网监控功能，具备内容过滤的安全网关通过多重过滤与保护，对内容和网址进行监控，对内容不良的网站实行过滤，从而实现对网络内部人员上网进行监控URL的屏蔽列表。

2.4、IPv6网络的安全技术

虽然IPv6在网络厂商应用较为广泛，但在安全厂商中，支持IPv6的网络安全产品（如防火墙、UTM、IPS等）还是较少，具体功能包括：IPv6环境下的状态包过滤、静态路由、OSPF动态路由、FTP、ALG等基本安全控制，以及IPv6/v4 双协议栈功能；设备在同一信息安全网络中同时支持 IPv4 和IPv6协议的安全控制日渐得到关注。

2.5、高性能多核技术

高性能多核技术为工程师们打开了另一扇门—它是把更多的CPU压在一个芯片当中以提高整个芯片处理交易事务的能力。以8核为例，在一块CPU基板上集成8个处理器核心，通过并行总线将各处理器核心连接起来，一般多核芯片都会集成一些针对比较耗费资源处理的硬件加速引擎。比如XLR内置的网络加速器可以对从网络接口进入XLR的数据包进行高速预处理。拿以太网包举例，XLR的网络加速器可以对以太网包2层、3层、4层的内容进行辨析，提取特征串，自动完成校验和验证，把包DMA（Direct Memory Access）到内存，构造以太网包描述符（Descriptor），然后可以基于多种策略把以太网描述符快速均衡的分流到指定的vCPU。这样，既可以提升网络层处理性能，也可以加速处理应用层检测速率，小包性能以及并发数显着提升，并且多核芯片内建应用加速安全引擎，在硬件层面上就可以支持AES，DES/3DES,SHA-1,SHA-256,MD5算法，最大可提供10Gbps的VPN加密解密运算能力。

2.6、防火墙自身的高安全技术

如果防火墙系统本身被攻击者突破或迂回，对内部系统来说它就毫无意义。因此，保障防火墙自身的安全是实现系统安全的前提。一个防火墙要抵御黑客的攻击必须具有严密的体系结构和安全的网络结构。 不同类型的拒绝服务攻击。理想情况下，防火墙应该采取直截了当的方式，比如将数据包打回或干脆关闭防火墙的方式。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友