【IT168 专稿】“网络卫士”防火墙4000-UF(TC-5044)采用独创的最新非常先进的技术--核检测技术，即基于os 内核的会话检测技术，在os 内核实现对应用层访问控制。它相对于包过滤和应用代理防火墙来讲，不但更加成功地实现了对应用层的细粒度控制，同时，更有效保证了防火墙的性能。

    “网络卫士”防火墙4000-UF(TC-5044) 的体系结构就是为了实现基于os 内核的会话检测技术而设计的，具体如下图所示。网卡接收的数据首先交给路由模块和透明模块进行处理，然后将数据交给规则检查模块，如果规则检查模块在规则匹配过程中需要对数据进行还原，那么数据将被提交给协议还原模块，协议还原模块根据具体协议的类型，将数据交给具体协议的还原模块去完成。比如ftp 协议数据就交给ftp 还原模块进行还原、http 协议数据就交给http 协议还原模块去处理、smtp 协议数据就交给smtp 还原模块去处理，然后根据还原的结果来执行相应的安全策略。从图中可以看出，所有的协议还原模块都工作在内核层次，因此其还原的效率非常高，处理的速度也非常快。由于基于os 内核的会话过滤技术可以对整个通讯会话进行全部或者部分的还原，所以其输出的日志信息将非常完整。不仅包括传统的通信日志(主要描述通讯的时间、源目地址、源目端口、通信流量、通讯协议等)，而且还包括访问日志(描述访问了那些资源)、命令日志(描述使用了那些命令，执行了那些操作)、内容日志(将整个通讯的内容全部记录下来，比如发送的邮件内容、获取的网页内容等等)，用户可以根据需要对不同的通讯记录不同的日志，从而为日志分析、事后追踪提供了更多的依据。