网站防火墙选型指南

在选择网站防火墙时，需要考虑以下几个方面：

1. 防火墙的功能性参数

数据包过滤：过滤技术（IpFilteringorpacketfiltering）的原理在于监视并过滤网络上流入流出的Ip包，拒绝发送可疑的包。在互联网这样的信息包交换网络上，所有往来的信息都被分割成许许多多一定长度的信息包，包头信息中包括IP源地址、IP目标地址、内装协议(ICP、UDP、ICMP、或IPTunnel)、TCP/UDP目标端口、ICMP消息类型、包的进入接口和出接口。当这些包被送上互联网时，防火墙会读取接收者的IP并选择一条物理上的线路发送出去，信息包可能以不同的路线抵达目的地，当所有的包抵达后会在目的地重新组装还原。包过滤式的防火墙会检查所有通过信息包里的IP地址，并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一IP为危险的话，从这个地址而来的所有信息都会被防火墙屏蔽掉。
防火墙的安全规则：安全规则就是对你计算机所使用局域网、互联网的内制协议设置，从而达到系统的最佳安全状态。个人防火墙软件中的安全规则方式可分为两种：一种是定义好的安全规则就是把安全规则定义成几种方案，一般分为低、中、高三种。另一种用户可以自定义安全规则也就是说，在你非常了解网络协议的情况下，你就可以根据自已所需的安全状态，单独设置某个协议。
事件日记：这是每个防火墙软件所不能少的主要的功能。记录着防火墙软件监听到发生的一切事件，比如入侵者的来源、协议、端口、时间等等。记录的事件是由防火墙的功能来决定的。

2. 防火墙的体系架构

硬件防火墙：是专门的安全设备，上面预装着安全软件，其操作系统一般是专用操作系统。另一方面，软件防火墙通常可以被安装在任何可用的服务器上，服务器的操作系统一般是通用的网络操作系统，诸如Windows或Linux等。

3. 防火墙的风险可视与风险预警能力

风险可视与风险预警能力：等保2.0在多个控制点对风险可视与风险预警能力提出相关要求,风险的发现和预警可以有多种方式实现,在下一代防火墙上实现是其中之一。具备风险预警能力的下一代防火墙能够快速针对全网风险进行预测，生成对应的防御策略，提供更加有效的安全防护效果。

4. 防火墙的双向攻击防护能力

双向攻击防护能力：近年来,攻击从内部发起的占比非常高,僵尸网络、C&C连接等内部攻击行为几乎出现在每一个安全事件中。因此,等保2.0中提出了应对由内到外的攻击行为进行检测的相关要求,区别于以往的安全防御仅关注外部攻击。因此,选择具备应用层双向攻击防护能力的防火墙,才能够满足等保2.0的安全要求,同时在当前安全形势下获得更好的防护效果。

5. 防火墙的新颖性

新型网络攻击行为发现及防御能力：近些年新型网络攻击行为频繁发生,2017年勒索病毒WannaCry利用“永恒之蓝”漏洞大肆传播,实际就是利用了安全防御能力对该漏洞的未知性,类似案例不胜枚举。对防火墙来说,如何利用设备本地的防御能力,联动云端,通过智能分析算法模型的应用、快速高频更新的安全能力和云端的全网威胁情报提升设备对新型网络攻击行为的检测和快速响应能力,是防火墙设备能否适应“等保2.0”安全建设的重要因素。