下一代防火墙 选型-华思特-深圳下一代防火墙

下一代防火墙的防护范围和控制精度比传统防火墙大大增加，这对使用者的经验和技能提出了更

高的要求。华为USG6000利用Smart Policy功能降低对使用者的要求，更好的进行防护。Smart Policy主

要具备以下功能：

1，快速部署策略：内置场景策略模板，下一代防火墙 选型，不依赖使用者的经验也能快速地部署常用防护策略。例如：

如果希望使用网络存储，管理员仅需基于“使用网盘”这个策略模板，就能建立一系列策略。在

策略中，对网盘类应用允许下xia载并进行病毒检测，h3c下一代防火墙，但禁止文件上传。

2，深圳下一代防火墙， 智能优化策略：根据内置应用风险库和网络实际流量对已部署的安全策略进行评估和优化，使其

符合底层授权原则。在企业遗留大量端口防护策略，需要转换为NGFW使用的应用防护策略时尤

其有用。

3，智能精简策略：自动发现重复的和长期没有使用的策略，精简策略规模，简化管理；

一、什么是Waf？

Waf的全拼为：Web Application Firewall，顾名思义waf是一款针对web端的防火墙产品。目前基于web端的业务往来越来越多，大部分数据和工作信息都转移到了web端，这就导致会将web端成为了攻击的主要目标，所以对于web的安全防护就变得非常重要了。而waf则是web防护的道防线，waf在web的安全防护上起着重要的作用。

二、Waf形态分类

目前市场上一共分为3种类型的waf

①云waf

②软件waf

③硬件waf

硬件waf一般需要需要安装硬件防护，将waf串行在web服务器前端，用户阻断、检测异常流量。常规硬件Waf的实现方式是通过代理来自外部的流量，并对请求包进行解析，通过安全规则库的攻击规则进行匹配，如成功匹配规则库中的规则，则识别为异常并进行请求阻断。

软件Waf则是安装在需要防护的服务器上，实现方式通常是Waf端口或以Web容器扩展方式进行请求检测和阻断。

云Waf是近年来随着云计算的推动衍生出来的新产品，云WAF，也称WEB应用防火墙的云模式，华为下一代防火墙报价，这种模式让用户不需要在自己的网络中安装软件程序或部署硬件设备，就可以对网站实施安全防护，它的主要实现方式是利用DNS技术，通过移交域名解析权来实现安全防护。用户的请求首先发送到云端节点进行检测，如存在异常请求则进行拦截否则将请求转发至真实服务器。

三、优缺点总结

不同形态的waf产品适用于不同的用户，并且不同形态的waf产品优缺点也不同。

1、 吞吐量：很重要。该指标直接影响网络的性能，吞吐量

2、 时延：很重要。入口处输入帧后1个比特到达至出口处输出帧的*1个比特输出所用的时间间隔

3、 丢包率：在稳态负载下，应由网络设备传输，但由于资源投入而被丢弃的帧的百分比。现在性能发展了，这种情况已经较少了。

4、 背靠背：从空闲状态开始，以达到传输介质合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现个帧丢失时，发送的帧数现在性能发展了，这种情况已经较少了。

5、 并发连接数：很重要。并发连接数是指穿越防火墙的主机之间或主机防火墙之间能同时建立的连接数

6、 每秒新建连接数：很重要。1秒之内能够新建的连接数量，体现了防火墙的反应能力或者说是灵敏度。

吞吐量

1、 定义：在不丢包的情况下能够达到的速率

2、 衡量标准：吞吐量越大，防火墙的性能越高