防火墙大家应该不陌生，它的主要功能其实跟我们现实生活中的防火门]的功能是一样的，就两个字“隔离”比如门]外着火，了,防火门可以隔离火势，让它不再蔓延进来。防火墙的功能其实也差不多，隔离外部的不安全流量，阻止黑客攻击内部的阻击或网络。所以防火墙这种产品一-般是部署在网络的边界，或者是重要服务器的边缘,对进出的流量进行审查。

防火墙的种类有很多，有网页防火墙也就是WAP，有网络防火墙，有邮件防火墙，还有代理防火墙，这些种类可以归为三大类，一类叫包过滤防火墙，另外一类叫代理防火墙，后一个叫复合型。
讲其实也就是下一代防火墙，包括物理防火墙是基本的三四层信息过滤技术。对三四层信息过滤一般是采用IP地址和端口号的一个匹配来进行限制，这是第一代防火墙。目前这一类防火墙已经淘汰了，那么代理类防火墙主要是应用代理，也就是说HTTP代理、邮件代理这种防火墙一般只能够对某种应用的数据做安全检查,不能对其他的应用程序的流量做安全的一个过滤，其实这也是第一代。但是这一类防火墙现在在网络当中仍然是有大量的使用，特别是在一些企业里面，邮件防火墙应用是比较广泛的，以及HTTP代理防火墙，比如我们现在知名的一些华为京东等等，像这些大厂其实都有在使用这一类的防火墙，特别是存在大量专利技术，以及靠技术吃饭的这些企业，它应用是比较多的。另外这一类防火墙还可以监控用户发送的邮件的详细内容，你比如说发送了邮件里面包含的某一些专利技术或者是一些技术文档，一般会被这种邮件代理服务器发现，然后你懂的。

那复合型防火墙目前来讲是应用很广泛的，综合的包括率和代理类的防火墙的一些功能，而且对应用的识别非常的牛逼，比如华为的月子级6000系列，30万颗的SD-6000系列，以及华山的N9000系列以及F50茶林这种系列的防火墙都属于下一代防火墙，不管是第一代防火墙还是第二代防火墙，它们的基本功能都是一样的，比如网络访问控制，基本网络访问控制、高级网络访问控制、VPI支持、网络整合特性，什么路由ipv6、冗余技术、拨号等等都是相同的。

那么第二代防火墙它到底多了什么功能?主要是有以下几个，比如说第几个入侵防御，数据防泄漏，URL过滤，还有应用识别、用户认证、行为审计等功能，它可以识别用户的操作是否合法，比如访问黄色网站，如果这个网站被认为是存在安全隐患的，防火墙是可以阻止用户去访问的，那么这里简单说一下，并不是说黄色网站它就一定不安全， 我们作为网络安全工程师，应该要从不同的角度去分析这个站点它到底是安全还是不安全。对于黄色信息来讲，在我们国家法律是不允许我们去访问或者说去传播的，那么从内容上面来看，这个站点它是不安全的。除了内容上面的一个不完全，它站点本身有没有问题，我们作为一个安全工程师来讲，可能更多的关注的是站点它本身有没有问题，比如说这个站点它是否包含一些恶意代码，或者说一些窃听的东西，一般情况下我们都是通过判断这些东西来判定站点它是安全还是不安全。我们国家肯定是从法律层面来讲，它是不允许去访问这一类网站，它内容是不安全的，不健康的，那么但是这个站点它本身其实没有什么太大问题，它这个站点没有说什么恶意代码或者说窃听，你说像这样子的一个网站，它到底是安全还是不安全呢？当然从我们网络安全工程师的角度上面来去分析的话，这个站点它其实没有什么太大问题，对吧?

内容我们先可以先不管好，下一代防火墙它可以识别到这个站点它是否完全，当然一般情况下是通过我们从安全的角度上面去分析的，这个站点有没有恶意代码、有没有确定信息？如果说没有的话，可能这个站点它就是安全的。当然内容层面的话，如果说我们人为的认定它是一个不完全站点，我们将一个数据库的内容添加这条站点的信息上去，那么防火墙一旦发现内部的用户去访问的站点，他也会认为用户访问的站点是不安全的，它也一样可以把它给拦截下来。

那么除了这个功能以外，下一代防火墙还有应用识别这么一个功能，它可以对用户使用的程序来做控制。比如说上班时间，不允许我们用户去访问我们的一些购物网站，或者说视频网站，或者说我们不允许用户在上班时间去使用迅雷，使用QQ或者使用微信，这些都是可以的，防火墙这些功能其实它都只能够保证部分的安全，并不能保证多面的安全。比如说黑客利用的是内部主机的系统漏洞，或者是内部服务器的漏洞来进行攻击的，又或者是使用这种钓鱼防火墙就比较难保证绝对的安全了。

一般在一个网络当中，防火墙会联动很多的安全产品来一起保证我们网络的安全，比如说IPS路径防御，还有什么漏洞扫描这一类的产品等等，当然这些产品我后面都会一的去介绍，通过这些安全产品的一个联合才能够保证我们一个网络的安全。