防火墻可以做什么？

1）普通訪問控制（類似于傳統交換機ACL，但是功能比ACL要強；例如交換機可以上256條的ACL規則，路由器可以達到幾千條甚至上萬條，但是防火墻普遍都可以上萬條規則以上）

2）高性能狀態化的訪問控制（高級別安全區域能夠訪問低級別的安全區域，類似于CISCO的反射訪問控制列表）

3）入侵檢測和防御（可以根據預先或者自定義的規則，對攻擊進行檢測和阻斷，這個功能我認為是最重要的）

4）URL過濾（這個功能在園區網比較有用，在IDC幾乎沒什么作用）

5）反病毒（這個功能目前比較雞肋）

6）流量控制（跟傳統的流控比起來，這個功能會相對比較雞肋）

7）抗DDOS（這個功能相對比較雞肋，帶寬型的DDOS抗不了、CC幾乎沒有用、只能防護一些非常低級的DDOS攻擊）

8）其他功能

什么時候需要部署防火墻

1）訪問控制（如果策略的數量比較少的話可以用交換機代替，稍微高檔一些的交換機的ACL規則可以高達幾百條）

2）防止攻擊（防火墻入侵檢測和防御功能）

3）高帶寬、高并發的NAT場景，例如校園網、IDC等（預算不充足的話可以使用linux的iptables集群代替，前提是要對linux內核網路方面的參數比較了解）

3）上網行為管理（限速、禁止訪問某些RUL、禁止訪問某類網站）

防火墻的發展歷史和趨勢

UTM：把所有功能做成流水線的模式，一個包裹來，要經過很多模塊檢測，對性能和質量造成較大影響。

下一代防火墻：所有的模塊采用并行的模式，一個包過來，多個模塊同時運作，性能有很大提高。

未來發展趨勢：目前防火墻對應用層的檢測相對來說是比較雞肋的。未來防火墻的發展趨勢會往應用層深度檢測攻擊的方向發展。和大數據結合在一起，具有更強的發現功能能力。

防火墻的采購注意事項

防火墻廠商的參數以吹牛為主（尤其大陸廠商）。看上去好像很屌，實際上防火墻的吞吐一般要打個30%。對于吞吐，還有分類，例如普通吞吐、IPS吞吐、IPSEC VPN吞吐、SSL VPN吞吐、AV吞吐、URL吞吐等等。

購買防火墻的時候要購買不同功能的license（例如IPS、URL過濾等等），否則買回來只是一臺高檔一點的ACL、NAT設備。不具備防攻擊的功能。

防火墻的投入是持續的，并非一次性投資，例如要購買IPS升級特征庫。

防火墻的部署誤區

缺乏管理：很多單位/企業，購買了防火墻后，放在出口開啟NAT后就沒有下文了。這個還倒不如部署一臺iptables來的劃算。

對防火墻的認知誤區：很多人認為防火墻部署后就可以高枕無憂了。如果你沒有對日志進行分析或者使用一些高級的功能，防火墻只會是一臺普通的ACL、NAT設備。不能阻擋任何攻擊。

防火墻部署原則

1）明確知道要保護的資產

2）資產的保護價值

3）想通過什么方法去保護資產

防火墻的衍生產品或者類似產品

入侵檢測/防御

防毒墻

流控

DDOS墻

說明：以上這些產品都可以繼承在防火墻上。如果對某個功能的要求很高（例如抗DDOS的并發數、流量），那么可以考慮串聯專門用于某種功能的設備