企业要想确保自身网络环境的安全防护，防火墙可是必不可少的网安设备之一。那么防火墙是什么？企业为什么需要防火墙？

在网络攻击威胁日盛的当下，有机构统计，全球97%的500强企业都发生过网络安全事件。2016年因网络安全问题给全球经济带来的损失高达4450亿美元，比上年增长了18%。不论是大型还是中小型企业，一旦遭受网络攻击，其后果影响就会十分严重。

为什么需要防火墙？

所谓“”，是一种位于内部网络与外部网络之间的安全防护系统。其会依照特定的规则，允许或限制传输的数据通过，来确保内部网络不遭受恶意攻击。

防火墙可以有硬件、固件或者软件等多种形态，不过在网络架构层面上，多泛指专属的硬件防护设备。软件防火墙即是安装在电脑操作系统内的防护程序，如Windows自带的防火墙。而硬件防火墙则指的是采用状态检测机制、集成VPN、支持桥/路由/NAT等工作模式的作用在2-4层的访问控制设备。

防火墙是企业必不可少的网安设备之一

那么企业呢？面对日益严重的网络攻击、入侵与破坏事件，企业必须要一套行之有效的安全防御方案，将网络安全的防护策略落实下来，进而能够审核记录所有进出的流量，同时，方便安全事件发生后开展相应的核查与分析。

当然，设置防火墙的最终目的还是为了在内部网络与外部网络之间设立唯一通道，简化网络安全管理，防止非法访问与入侵。

不过，防火墙并非万能的。由于其自身属性与部署特点，防火墙只适合处理企业网络边界的安全防护任务，对于内部的恶意攻击或蓄意破坏无法有效管制。同时，由于所有互联网的数据包都经过防火墙过滤，往往会造成网络交通的瓶颈。而且传统防火墙采用端口和IP协议进行控制的策略已经落伍，对于利用僵尸网络作为传输方法的新威胁，基本无法探测到。

为此，以应用层管理为核心的中科网威下一代防火墙产品，基于L2-7层访问应用控制,集成了防火墙、IPS入侵检测、DDoS/DOS防护、AV病毒防护；实现对内网全面安全防护，如应用扫描、病毒检测防护、Web应用防护、木马黑客防护、流控带宽管理、多线路负载均衡等。可为企业、运营商、高端行业用户提供卓越性能的安全防火墙方案。

1、应用安全防护

 中科网威下一代防火墙可以识别1000多种应用，识别上千种网络行为动作，还可以与多种认证系统（AD、LDAP、Radius等）无缝对接，自动识别出网络当中IP地址、MAC地址、用户身份对应的用户信息，并建立组织的用户分组结构；满足了普通互联网边界行为管控的要求。可以识别和控制丰富的内网应用，如迅雷P2P、RDP、Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、用友NC、U8、SAP、LDAP等，针对用户应用系统更新服务的诉求，中科网威下一代防火墙还可以精细识别Microsoft SHAREPOINT、奇虎360、Symantec、 Sogou、Kaspersky、金山毒霸、江民杀毒等软件更新，保障在安全管控严格的环境下，系统软件更新服务畅通无阻。通过应用的协议识别制定的二到七层的应用访问控制策略，可以为用户提供更加精细和直观化控制界面，在一个界面下完成多套设备的运维工作，提升工作效率。

2、漏洞扫描防护

中科网威下一代防火墙融合了漏洞防护、Web安全防护等多种安全技术，具备12000多条漏洞特征库、木马插件等恶意内容特征库、1000多条Web应用威胁特征库，可以全面识别各种应用层和内容级别的各种安全威胁。提供URL过滤、文件过滤、ActiveX过滤、脚本过滤等多种WEB安全防护手段通过对应用流中的数据报文内容进行探测，从而确定数据报文的真正应用。

中科网威下一代防火墙WEB应用防护通过主动防御已知和未知攻击，实时阻断各种黑客攻击，如防SQL注入、XSS攻击、网站扫描、WEB SHELL、会话劫持攻击等。中科网威下一代防火墙通过先进的数据包正则表达式匹配原理，可以准确地过滤数据包中包含的跨站式攻击的恶意代码，从而保护用户的WEB服务器安全。

3、智能专业防火墙

中科网威下一代防火墙包含状态检测防火墙功能。灵活的安全规则以及多种防护机制保护了网络免受攻击，提升了整个网络的安全性。
NAT支持：支持多种应用协议NAT 穿越和多对一的源地址转换、一对一的双向地址转换以及端口映射等三种类型NAT。 
VPN支持：支持 IPSec VPN、PPTP VPN 功能。 
安全防护：提供全面的 DOS/DDOS 防护机制，支持 SYN Cookie，SYN 代理服务。防御各种网络攻击如IP畸形包攻击、IP假冒、TCP劫持入侵、SYN flood、 Smurf、Ping of Death、Teardrop、Land、Ping flood、UDP Flood 等。 
安全区技术：安全区在防火墙功能的使用，更有效的对内网提供安全保证，这对于基于包过滤和状态检测防火墙产品，保护能力将大大提高。

4、IPS入侵防护 

中科网威下一代防火墙支持12000多种流量异常特征库，并可以按优先级区分不同类型的漏洞攻击，按“高”，“中”，“低”区分；包括敏感信息泄露DOS攻击/尝试获取用户特权的攻击/尝试获取管理员特权的攻击/网络流量中发现可执行文件的注入/可疑关键字和可疑文件的注入/远程过程调用告警/网络木马程序注入/客户端使用可疑端口通信/可疑的网络扫描/篡改标准协议和非法事件的告警/潜在的web攻击/ICMP告警/异常内容告警/公司机密泄露/尝试用默认账号窃取信息等。

5、AV病毒防护 

中科网威下一代防火墙内置病毒库数量100,000+定期持续更新，基于流引擎病毒查杀技术，针对HTTP、FTP、SMTP、POP3、IMAP等协议进行病毒查杀。

6、专业上网行为管理

中科网威下一代防火墙设备可选配上网行业管理模块,对用户的上网行为进行细致而灵活的管理，对网络行为进行规范过滤和记录,大大提高了员工的工作效率。

7、流量带宽管理 

中科网威上网行为管理支持数据流的DPI+DFI深度行为识别检测，支持高达1000多种应用协议识别，可对网络应用协议和流量进行准确类型识别，包括常规的HTTP、FTP等应用、P2P 下载、IM聊天软件、网络游戏、网络电话、WEB在线视频、流媒体、多线程下载、股票软件、网上银行等。配合强大的流控与行为管理功能，可有效提高 带宽的利用率，规范用户的上网行为。