方正fg 3000系列的主要功能是对指定对象进行访问控制,并且按照设定策略对网络数据进行入侵或流量等活动的统计,并记入日志中,供用户察看。方正fg 3000系列可控对象除了传统的ip包的相关信息(源地址、目的地址、协议、源端口、目的端口、报文代码、碎片和syn/ack等标识位)外,还引入了智能ip识别技术,增加时间、用户、应用及其操作等控制对象,扩展了防火墙的防护功能,使得防火墙和应用的结合更为紧密。
方正fg 3000系列可以根据数据包的地址、协议和端口进行访问控制,同时还对结合应用对网络连接和会话的当前状态进行分析和监控。对于不同的会话,方正fg 3000系列先通过状态检测技术在内核中进行会话的组装,将检测对象从数据包提升到会话,提高了防火墙的过滤效率。组装会话后,防火墙内核会根据会话的特征自动识别会话属于何种应用,并根据相应的安全规则进行访问控制。
传统的防火墙的包过滤只是与规则表进行匹配,效率较低,而且无法区分ip包头外的信息。状态检测防火墙也仅仅是组合会话,并不区别不同的应用,更无法做到应用的监控。
对于较为特殊的应用,如ftp和h.323,需要在连接中动态打开其他连接进行数据传输,普通防火墙无法获得动态连接的情况,必须提前打开所有可能的地址和端口,造成安全风险。方正fg 3000系列通过智能识别技术能够分析打开的连接,动态调整防火墙的安全规则,在灵活支持应用的同时,不牺牲安全。