NGAF和AF有什么共同功能？

NGAF和AF有什么共同功能？

防火墙的主要功能
　　以上介绍了防火墙的含义，其实我们可以从防火墙的这些解释中可以理解到防火墙的功能。具体来说，防火墙主要有以下几方面功能：
　　创建一个阻塞点
　　隔离不同网络，防止内部信息的外泄
　　强化安全策略
　　有效地审计和记录内、外部网络上的活动
　　1. 创建一个阻塞点
　　防火墙在一个公司内部网络和外部网络间建立一个检查点。这种实现要求所有的流量都要通过这个检查点。一旦这些检查点清楚地建立，防火墙设备就可以监视，过滤和检查所有进来和出去的流量。这样一个检查点，在网络安全行业中称之为“阻塞点”。通过强制所有进出流量都通过这些检查点，网络管理员可以集中在较少的地方来实现安全目的。如果没有这样一个供监视和控制信息的点，系统或安全管理员则要在大量的地方来进行监测。
　　2. 隔离不同网络，防止内部信息的外泄
　　这是防火墙的最基本功能，它通过隔离内、外部网络来确保内部网络的安全。也限制了局部重点或敏感网络安全问题对全局网络造成的影响。企业秘密是大家普遍非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所截获，攻击者通过所获取的信息可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网等信息。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

　　3. 强化网络安全策略
　　通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。各种安全措施的有机结合，更能有效地对网络安全性能起到加强作用。
　　4. 有效地审计和记录内、外部网络上的活动
　　防火墙可以对内、外部网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并进行日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。这为网络管理人员提供非常重要的安全管理信息，可以使管理员清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。
　　以上是从宏观方面对防火墙的功能所进行的综合描述，如果从技术微观方面分的话，它主要体现在如下方面：
　　1. 包过滤
　　包过滤是防火墙所要实现的最基本功能，现在的防火墙已经由最初的地址、端口判定控制，发展到判断通信报文协议头的各部分，以及通信协议的应用层命令、内容、用户认证、用户规则甚至状态检测等等。
　　2. 审计和报警机制
　　在防火墙结合网络配置和安全策略对相关数据分析完成以后，就要做出接受、拒绝、丢弃或加密等决定。如果某个访问违反安全策略，审计和报警机制开始起作用，并作记录和报告。审计是一种重要的安全举措，用以监控通信行为和完善安全策略，检查安全漏洞和错误配置。报警机制是在有通信违反相关安全策略后，防火墙可以有多种方式及时向管理员进行报警，如声音、邮件、电话、手机短信息等。
　　防火墙的审计和报警机制在防火墙体系中是很重要的，只有有了审计和报警功能，管理人员才可能及时知道网络是否受到了攻击。通过防火墙日志启示还可以进行统计、分析，得出系统安全存在最大不足和隐患，进而可以有针对性地进行改进。
　　但要注意的，由于要对整个网络通信进行日志记录，所以防火墙的日志记录数据量比较大，在防火墙自身上是不可能能存储这么庞大的日志文件的。通常采用外挂方式，即将日志挂接在内部网络的一台专门存放日志的日志服务器上。
　　3.NAT(Network Address Translation，网络地址转换)
　　网络地址转换功能现在也已成为防火墙的标准配置之一。通过此项功能就可以很好地屏蔽内部网络的IP地址，对内部网络用户起到了保护作用。
　　NAT又分“SNAT (Source NAT)”和“DNAT (Destination NAT)”。SNAT就是改变转发数据包的源地址，对内部网络地址进行转换，对外部网络是屏蔽的，使得外部非常用户对内部主机的攻击更加困难，同时可以节省有限的公网IP资源，通过少数一个或几个公网IP地址共享上网。而DNAT就是改变转发数据包的目的地址，外部网络主机向内部网络主机发出通信连接时，防火墙首先把目的地址转换为自己的地址，然后再转发外部网络的通信连接，这样实际上外部网络主机与内部网络主机的通信变成了防火墙与内部网络主机的通信。在防火墙中主要用于外部网络主机对内部网络和DMZ区(非*区)主机的访问。

　　4.Proxy(代理)
　　在防火墙代理服务中，主要有如下两种实现方式：
　　透明代理(Transparent proxy)
　　透明代理是指内部网络主机需要访问外部网络主机时，不需要做任何设置，完全意识不到防火墙的存在。其基本原理是防火墙截取内部网络主机与外部网络通信，由防火墙本身完成与外部网络主机通信，然后把结果传回给发出通信连接的内部网络主机，在这个过程中，无论内部网络主机还是外部网络主机都意识不到它们其实是在和防火墙通信。而从外部网络只能看到防火墙，这就隐藏了内部网络网络，提高了安全性。
　　传统代理
　　传统代理工作原理与透明代理相似，所不同的是它需要在客户端设置代理服务器。如前所述，代理能实现较高的安全性，不足之处是响应变慢。
　　5.流量控制(带宽管理)和统计分析、流量计费
　　流量控制可以分为基于IP地址的控制和基于用户的控制。基于IP地址的控制是对通过防火墙各个网络接口的流量进行控制，基于用户的控制是通过用户登录来控制每个用户的流量，从而防止某些应用或用户占用过多的资源。并且通过流量控制可以保证重要用户和重要接口的连接。
　　流量统计是建立在流量控制基础之上的。一般防火墙通过对基于IP、服务、时间、协议等等进行统计，并可以与管理界面实现挂接，实时或者以统计报表的形式输出结果。流量计费从而也是非常容易实现的。
　　6.VPN(虚拟专用网)
　　在传统的防火墙设备中，是不允许进行VPN通信的，以往的VPN网络设备也是作为单独产品出现的，现在更多的厂家把两种技术集成在一起。VPN作为一种新的网络技术，它具有较强的通信优势。支持VPN通信，已成为一种趋势，不仅防火墙如此，交换机、路由器也如此。这比单独开始一种VPN设备来说更加合理，不仅体现在经济上，而且体现在功能上。
　　7.URL级信息过滤
　　随着互联网应用的普及，各企业对互联网的依赖性越来越强了。过去了一些简单的邮件收发互联网应用已不能满足企业应用需求了。像VPN通信一样，企业很可能还需要与合作伙伴、供应商或分支机构进行双向通信，这样的通信是相当频繁的，如果也按传统的防火墙过滤原理，对每一个通信请求都进行严格的审核的话，很可能引发通信瓶颈，造成通信性能下降。这时如果对某些站点或目录进行特权访问或禁止的话，就可以不必这样频繁的审核了。这就是目前最主流的网站、内容等信息过滤配置。在许多代理服务器软件中都可以实现这一点，在防火墙中也有些具备这一功能。
　　8. 其他特殊功能
　　除了以上介绍的六个方面的主要功能外，有的防火墙还具有一些特殊功能，这些特殊功能纯粹是为了迎合特殊客户的需要或者为赢得卖点而设计的。如特定的用户权限配置(包括使用时间、邮件发送权限、件传输权限、使用的主机、所能进行的互联网应用等)，这些依需求不同而定。有的防火墙还加入了病毒扫描功能。

楼上回答的很全面

楼上回答的很全面

这是想问传统防火墙和下一代防火墙的区别吗？