【IT168 资讯】传统的防火墙通常是基于访问控制列表(ACL)进行包过滤的,位于在内部专用网的入口处,所以也俗称"边界防火墙"。随着防火墙技术的发展,防火墙技术也得到了发展,出现了一些新的防火墙技术,如电路级网关技术、应用网关技术和动态包过滤技术,在实际运用中,这些技术差别非常大,有的工作在OSI参考模式的网络层,;有的工作在传输层,还有的工作在应用层。
在这些已出现的防火墙技术中,静态包过滤是最差的安全解决方案,其应用存在着一些不可克服的限制,最明显的表现就是不能检测出基于用户身份的地址欺骗型数据包,并且很容易受到诸如DoS(拒绝服务)、IP地址欺诈等黑客攻击。现在已基本上没有防火墙厂商单独使用这种技术。应用层网关是比较好的安全解决方案,它们在应用层检查数据包。
除了访问控制功能外,现在大多数的防火墙制造商在自己的设备上还集成了其它的安全技术,如NAT和VPN、病毒防护等。
网域上网行为流量管理设备内置了专业的状态检测防火墙。灵活的安全规则以及多种防护机器保护了网络免受攻击,提升了整个网络的安全性。
安全策略
基于时间段对源、目的IP地址以及服务进行过滤。
NAT支持
提供多对一、多对多的源地址转换,一对一的双向地址转换以及端口映射等三种类型的NAT。并且支持多种应用协议NAT穿越,支持H.323、SIP、FTP、TFTP、RSH、RTSP、SQL Net、HTTP、MS-RPC、PPTP/GRE、SUM-RPC等协议的ALG功能。
VPN支持
支持IPSec VPN、PPTP VPN功能。
IP SEC VPN利用公共网络资源,建立安全可靠、经济便捷、高速传输通道主要是用于总部和分支,分支和分支等的安全互联。
PPTP是一种支持多协议虚拟专用网络的网络技术,它工作在第二层。通过该协议,远程用户能通过Windows xp 、Windows 2000 和Windows 2003 操作系统以及其他装有点对点协议的系统安全访问公司网络,并能拨号接入本地ISP,通过Internet 安全链接到公司的网络。
全面的Dos/DDos防护
提供全面的Dos/DDos防护机制,支持SYN Cookie,SYN代理服务。防御各种网络攻击包括:IP畸形包攻击、IP假冒、TCP劫持入侵、STN Flood、Ping of Death 、Teardorp、Land、Ping Flood、UDP Flood等。
