克服“管就死，放就乱”的智能防火墙

核心提示： 智能防火墙从技术特征上，是利用统计、记忆、概率和决策的智能方法来对数据进行识别，克服“管就死，放就乱”的智能防火墙(3)，并达到访问控制的目的，新的数学方法，与传统防火墙相比，智能防火墙在保护网络和站点免受黑客的攻击、阻断病毒的恶意传播、有效监控和管理内部局域网、保护必需的应用安全、提供强

智能防火墙从技术特征上，是利用统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的。新的数学方法，消除了匹配检查所需要的海量计算，高效发现网络行为的特征值，直接进行访问控制。由于这些方法多是人工智能学科采用的方法，因此被称为智能防火墙。

一个典型的例子可以说明智能防火墙对网络安全是多么的重要。传统的防火墙对包的检查，就像对人的相貌的识别，采用图像识别一样。把一个人的相貌转换为图像，对图像的每一个像素进行记忆，然后进行匹配检查。通过检查上千万个像素之后，告诉你这是谁。人不是这样来识别相貌的。人几乎没有计算就可以实时地识别你是谁。这就是智能识别。智能防火墙无须海量计算就可以轻松找到网络行为的特征值来识别网络行为，从而轻松的执行访问控制。

总之，智能防火墙的出现正可谓应运而生，必将把信息安全带入新的境界。

应用看台

智能防火墙成功地解决了普遍存在的拒绝服务攻击（DDOS）的问题、病毒传播问题和高级应用入侵问题，代表着防火墙的主流发展方向。新一代智能防火墙自身的安全性较传统的防火墙有很大的提高，在特权最小化、系统最小化、内核安全、系统加固、系统优化和网络性能最大化方面，与传统防火墙相比有质的飞跃。其主要应用领域如下：

防范恶意数据攻击：智能防火墙能智能识别恶意数据流量，并有效地阻断恶意数据攻击，解决SYN Flooding、Land Attack、UDP Flooding、Fraggle Attack、Ping Flooding、Smurf、Ping of Death、Unreachable Host等攻击，有效的切断恶意病毒或木马的流量攻击。

防范黑客攻击：智能防火墙能智能识别黑客的恶意扫描，并有效地阻断或欺骗恶意扫描者。对目前已知的扫描工具如ISS、SSS、NMAP等扫描工具，可以防止被扫描。并可有效地解决恶意代码的恶意扫描攻击。

防范MAC欺骗和IP欺骗：智能防火墙提供基于MAC的访问控制机制，可以防止MAC欺骗和IP欺骗，支持MAC过滤，支持IP过滤。将防火墙的访问控制扩展到OSI的第二层。

入侵防御：智能防火墙为了解决准许放行包的安全性，对准许放行的数据进行入侵检测，并提供入侵防御保护，这样就完成了深层数据包监控，并能阻断应用层攻击。

防范潜在风险：智能防火墙支持包擦洗技术，对IP、TCP、UDP、ICMP等协议的擦洗，实现协议的正常化，消除潜在的协议风险和攻击。这些方法对消除TCP/IP协议的缺陷和应用协议的漏洞所带来的威胁，效果显著。

综上所述，与传统防火墙相比，智能防火墙在保护网络和站点免受黑客的攻击、阻断病毒的恶意传播、有效监控和管理内部局域网、保护必需的应用安全、提供强大的身份认证授权和审计管理等方面，都有广泛的应用价值。