防火墙snmp设置（NGFW防火墙功能概述）

随着国家信息安全、网络安全的建设，防火墙成为网络安全中高频出现的产品，纵观国内市场来看华为、H3C、锐捷、天融信、奇安信等等厂商已经推出了NGFW防火墙，满足当下的网络安全需求，满足等保需要等。

防火墙的基础的功能例如访问控制、NAT，增值功能例如IPSEC VPN、SSL VPN、IPS、AV、WAF等。

访问控制就是基于源IP、目的IP、服务进行设置的访问控制策略，当数据包来防火墙根据安全策略进行配置，匹配到就执行对应的动作（允许、拒绝）

NAT可以分为源NAT、目的NAT、源NAT一般用于内网访问互联网，多个内网地址通过一个公网IP 端口号的形式实现共享上网。目的NAT在数通领域可以理解为端口映射，实现外网用户通过访问防火墙外网出口固定的公网IP 端口号，跳转到内网的服务器IP 端口号。

IPSEC VPN是站点到站点通过互联网建立一条虚拟的私有网络，使用MD5认证算法，3DES加密算法，DH算法实现秘钥分发的高度安全的隧道，模拟专线的效果。保障信息传递的机密性、完整性、不可否认性。IPSECVPN大多数厂商都是支持的，不同厂商的设备也可以对接IPSEC VPN，只要遵循IPSEC架构即可。

SSL VPN利用了SSL协议的VPN，实现异地通过互联网连接到企业内网，访问内网服务的VPN。SSLVPN提供身份认证，保障数据的完整性和机密性。

IPS是下一代防火墙相比较早期的防火墙的优势之一，因为传统的防火墙只能识别流量的网络层和传输层，对于应用层是无法识别的，IPS的增加，极大加强了防火墙对于数据包处理的能力，能识别应用层的信息。大多数IPS是基于规则库的，基于特征库对应用层进行比对，识别出攻击程序或恶意代码，进行阻断。

AV功能是防病毒功能，大多数网络安全厂商的防病毒都是基于病毒的传播方式来设置的，例如HTTP、SMTP、POP3等等，有的厂商是有自研杀毒引擎，但是大多数还是和国内或国外的专业杀毒厂商合作。目前来看，基于流的检测效率基本上不会太好，检测率往往比较低

WAF功能是WEB防护，一般防护HTTP网站或者HTTPS网站，用于应对SQL注入、网页篡改、网页挂马等，WAF的功能是基于规则库，防火墙的WAF和专业的WAF相比较还是有区别的，缺乏自学习机制。

以上就是我分享的NGFW防火墙的功能特性概述，欢迎多提宝贵意见！