北京盈富迈胜(图)-华三H3C防御系统公司-福建防御系统公司

华为防火墙的基本架构

防火墙的硬件体系结构曾经历过通用CPU架构、ASIC架构和网络处理器架构，他们各自的特点分别如下：

通用CPU架构

通用CPU架构常见的是基于Intel X86架构的防火墙，在百兆防火墙中Intel X86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的青睐；由于采用了PCI总线接口，Intel X86架构的硬件虽然理论上能达到2Gbps的吞吐量甚至更高，但是在实际应用中，尤其是在小包情况下，远远达不到标称性能，通用CPU的处理能力也很有限。

国内安全设备主要采用的就是基于X86的通用CPU架构。

ASIC架构

ASIC技术是国外网络设备几年前广泛采用的技术。由于采用了硬件转发模式、多总线技术、数据层面与控制层面分离等技术， ASIC架构防火墙解决了带宽容量和性能不足的问题，稳定性也得到了很好的保证。

ASIC技术的性能优势主要体现在网络层转发上，而对于需要强大计算能力的应用层数据的处理则不占优势，而且面对频繁变异的应用安全问题，其灵活性和扩展性也难以满足要求。

网络处理器架构

由于网络处理器所使用的微码编写有一定技术难度，难以实现产品的性能，因此网络处理器架构的防火墙产品难以占有大量的市场份额。

华为防火墙的网络层防火墙

网络层防火墙可视为一种 IP 封包的过滤器（允许或拒绝封包资料通过的软硬结合装置），运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式，华为防御系统公司，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。

我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。

较新的防火墙能利用封包的多样属性来进行过滤，华三H3C防御系统公司，例如：来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。

防火墙inbound和outbound不同区域之间可以设置不同的安全策略，域间的数据流分两个方向

入方向（Inbound）：数据由低级别的安全区域向更高一层级别的安全区域传输的方向。

出方向（Outbound）：数据由更高一层级别的安全区域向低级别的安全区域传输的方向。

因为防火墙的状态化检测机制，所以针对数据流通常只重点处理首报文，安全策略一旦允许首报文允许通过，华三H3C防御系统公司，那么将会形成一个会话表，后续报文和返回的报文如果匹配到会话表将会直接放行，而不再查看策略，福建防御系统公司，从而提升防火墙的转发效率。如，Trust区域的客户端访问UNtrust区域的互联网，只需要在Trust到UNtrust的Outbound方向应用安全策略即可，不需要做UNtrust到Trust区域的安全策略。