网络相关的安全设备（网络安全设备）

包过滤防火墙属于静态防火墙，目前存在的问题如下：

应用级防火墙也成为代理防火墙。代理是一种将数据包从一个网络复制到另一个网络的机制：复制过程中会更改源和目标地址以保护内部或专用网络。应用级网关防火墙根据用于传输或接收数据的服务过滤流量。每种类型的应用程序都必须拥有自己唯一的代理服务器。应用级网关防火墙称为第二代防火墙，它们在OSI模型的第7层（应用层）运行。

电路级防火墙用于在可信赖的合作伙伴之间建立通信会话。它们在OSI模型的第5层（会话层）上运行。SOCKS是电路级网关防火墙的常见实现方式。它们仅根据通信线路的端点名称（即源和目标地址以及服务端口）允许或拒绝转发。它也是称为第二代防火墙。

状态检查防火墙（也称为动态数据包过滤防火墙）评估网络流量的状态或上下文。通过检查源和目的地址、应用程序使用情况、来源以及当前数据包与同一会话的先前数据包之间的关系，状态检测防火墙能为授权用户和活动授予更广泛的访问权限，并主动监视和阻止未经授权的用户和活动。它们称为第三代防火墙，在OSI模型的第2层、第3层和第4层（数据链路层、网络层和传输层）上运行。

“状态检测”机制，是以流量为基础对报文进行检测和转发。即：对一条流量的第一个报文（首包）进行包过滤规则检查，第一次来的包，并将判断结果作为该条流量的“状态”记录会话表项，建立两个缓存的session（一个去包缓存，一个回包缓存），后续属于同一数据流的数据包匹配缓存表后放行。

在基于状态检测防火墙中，有两张表：规则表和状态表（即会话表）。

规则表由六元组组成：

状态表由九元组构成

1. 数据包首先会到达状态检查模块，通过对数据包分析、提取数据包报文头文件信息，检查女数据包是否符合在状态表中某个已经建立的有效的会话连接记录，如复合记录则根据报文头信息更新状态表并放行；

2. 若与状态表中无匹配表项，则检测其与规则表是否匹配，不匹配直接丢弃；

3. 若匹配进一步判断是否允许建立新连接，这时根据IP协议承载的上层不同协议类型建立新表项，最终报文加载状态进行进行处理；

在TCP连接首次建立的过程中：

深度数据包检测（DPI）防火墙是一种过滤机制，通常在第7层（应用层）运行，以便过滤通信的有效内容。DPI也可称为完整的数据包检测和信息提供。DPI通常与应用层防火墙和/或状态检测防火墙集成在一起。

下一代防火墙是一种多功能设备（MFD），除防火墙外，还包含多种安全功能。

传统的防火墙功能：是新环境下同防火墙的替代品，必须向前兼容传统防火墙的基本功能；

应用识别与应用控制技术：具备应用感知能力，并能够基于应用实施精细化的安全管控策略和层次化的带宽管理手段；

IPS与防火墙深度集成：要支持IPS功能，且实现与防火墙的深度融合，实现1 1>2的效果；

利用防火墙以外的信息，增强管控能力：能够利用其他IT系统提供的用户信息、位置信息、漏洞和网络资源信息等，帮助改进和优化安全策略；

包过滤防火墙 - AR500, AR510, AR531, AR550, AR1500, AR2500 V200R010 配置指南-安全（命令行） - 华为 (huawei.com)

基于状态检测防火墙原理基础(上） - FreeBuf网络安全行业门户

什么是下一代防火墙？NGFW和传统防火墙、UTM设备的差异。 - 华为 (huawei.com)

下一代防火墙概述嚴 帅的博客-CSDN博客下一代防火墙原理

通过旁路部署的方式从网络或计算机系统关键节点收集信息依据动态学习或知识库进行分析，从中发现网络或系统中是否存在可疑或异常事件；

监测一台计算机上的活动，其中包括进程调用以及系统、应用程序、安全措施和基于主机防火墙日志记录的信息。

HIDS优于NIDS的一点是，HIDS能监测到NIDS检测不出来的主机系统异常情况；但是HIDS比NIDS的管理成本更高，并且更容易被入侵者发现和禁用，同时导致留存的日志被修改；

监测并评估网络活动，从中找出攻击或异常事件。一个NIDS可通过远程传感器监测一个大型网络，由传感器在关键网络位置收集数据后把数据发送给中央管理控制台和/或安全事件和事件管理（SIEM）系统。

被动响应：通过电子邮件、文本或短信等方式将告警发送至管理员；

主动响应：动其他安全防护设备（防火墙、IPS等）对可疑流量进行阻断；

入侵防御系统（IPS）是一种特殊类型的主动响应IDS，在检测到异常流量之后直接进行数据拦截。它串联部署在重要网络通道上，保证所有通信流量均从该设备进行通过，从而保证能够对异常流量进行拦截；