【IT168 专稿】方正防火墙独有的智能ip识别技术是一种基于状态检测的高效网络检测技术。在新一代防火墙产品中，对原有的智能ip识别技术进行了大幅度的提升和扩充，除了能够提高网络数据检测效率外，还能在防火墙内核中针对应用进行多元化的访问控制，大大扩展了防火墙的控制能力，使得防火墙和应用能够更紧密的结合。配合原有的特有快速搜索算法技术，防火墙在保证针对应用的细致分析和防护的同时，对产品的性能有大幅的提高，解决了目前内容分析型防火墙普遍存在的效率瓶颈问题。

    多种控制对象

    用户在使用防火墙时最主要的功能就是通过防火墙进行访问控制，随着网络应用的发展，原有针对ip包的控制已经不能满足用户的需求，用户希望有一种防火墙可以密切和应用相结合，针对具体的网络应用进行访问控制。

    防火墙的主要功能是对指定对象进行访问控制，并且按照设定策略对网络数据进行入侵或流量等活动的统计，并记入日志中，供用户察看。防火墙可控对象除了传统的ip包的相关信息（源地址、目的地址、协议、源端口、目的端口、报文代码、碎片和syn/ack等标识位）外，还引入了智能ip识别技术，增加时间、用户、应用及其操作等控制对象，扩展了防火墙的防护功能，使得防火墙和应用的结合更为紧密。

    防火墙可以根据数据包的地址、协议和端口进行访问控制，同时还对结合应用对网络连接和会话的当前状态进行分析和监控。对于不同的会话，防火墙先通过状态检测技术在内核中进行会话的组装，将检测对象从数据包提升到会话，提高了防火墙的过滤效率。组装会话后，防火墙内核会根据会话的特征自动识别会话属于何种应用，并根据相应的安全规则进行访问控制。

    传统的防火墙的包过滤只是与规则表进行匹配，效率较低，而且无法区分ip包头外的信息。状态检测防火墙也仅仅是组合会话，并不区别不同的应用，更无法做到应用的监控。

    对于较为特殊的应用，如ftp和h.323，需要在连接中动态找开其他连接进行数据传输，普通防火墙无法获得动态连接的情况，必须提前打开所有可能的地址和端口，造成安全风险。防火墙通过智能识别技术能够分析出打开的连接，动态调整防火墙的安全规则，在灵活支持应用的同时，不牺牲安全。

    高效

    某些防火墙也宣传可以实现对应用访问控制的支持，但在启动以后对防火墙性能影响很大，造成网络吞吐能力的降低。防火墙采用的智能ip识别技术，对内核进行特殊优化，采用零拷贝流分析、专利快速搜索算法等技术，能够实现快速匹配，不会对性能造成任何影响。

    防火墙通过优化算法，使最大并发连接数可以达到4,000,000个以上，而一般的防火墙的最大并发连接只能达到几万个左右。防火墙在多次由国家权威机构和第三方进行的产品评测中，性能遥遥领先。

    智能ip识别技术既能实现控制对象的多元化，还有效的保证了网络效率，可以说是目前非常先进的防火墙数据检测技术。