思科防火墙销售指南之应用篇(3)

中国社会信息化、网络化建设不仅需要领先的网络技术和设备，更需要正确建立和充分应用互联网的成功经验和策略咨询。思科互联网商业方案部（IBSG）积极与用户分享思科应用互联网的成功经验。在《财富》"全球500强"企业中，已有280多家企业的总裁和首席信息官分享了思科经验。美国《商业周刊》对此评论说，由于思科处在互联网经济的核心，它比任何其他公司都更适合于领导和推动全球经济企业发展向互联网转型。

思科系统公司为建设一个信息化的中国社会不断贡献着自己的力量。

思科公司在网络安全市场－防火墙的领导地位

思科公司的PIX防火墙产品自面世以来就得到用户的信赖和认可，连续多年在全球防火墙市场份额均居所有安全厂商之首，在中国也不例外，思科公司的PIX防火墙高居中国防火墙市场份额。到目前为止，思科公司拥有覆盖全国，主要涉及、电信、金融、、能源、交通、教育、流通、邮政、制造等行业的用户，有非常广泛的用户群和实际防火墙实施经验。

防火墙技术发展与思科防火墙技术

防火墙技术

防火墙所能起到的保护能力与其体系结构和运行机制有很大的关系，每一次体系结构上的演变都会带来防火墙功能的质的飞跃。防火墙的基本结构可以分为包过滤和应用代理两种。包过滤技术关注的是网络层和传输层的保护，而应用代理则更关心应用层的保护。

包过滤是历史最久远的防火墙技术，从实现上分，可以分为简单包过滤和状态检测的包过滤两种。

• 简单包过滤是对单个包的检查，目前绝大多数路由器产品都提供这样的功能。由于这类技术不能跟踪TCP的状态，所以对TCP层的控制能力有限，当在这样的产品上配置了仅允许从内到外的TCP访问时，一些以TCP应答包的形式进行的攻击仍然可以从外部透过防火墙对内部的系统进行攻击。简单包过滤的产品由于其保护的不完善，1999年开始已经很少在主流产品中出现了。
  
• 状态检测的包过滤利用状态表跟踪每一个网络会话的状态，对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态。因而提供了更完整的对传输层的控制能力。同时由于一系列优化技术的采用，状态检测包过滤的性能也明显优于简单包过滤产品，尤其是在一些规则复杂的大型网络上。