華為防火墻的基本架構

防火墻的硬件體系結構曾經歷過通用CPU架構、ASIC架構和網絡處理器架構，他們各自的特點分別如下：

通用CPU架構

通用CPU架構常見的是基于Intel X86架構的防火墻，在百兆防火墻中Intel X86架構的硬件以其高靈活性和擴展性一直受到防火墻廠商的青睞；由于采用了PCI總線接口，Intel X86架構的硬件雖然理論上能達到2Gbps的吞吐量甚至更高，但是在實際應用中，尤其是在小包情況下，遠遠達不到標稱性能，通用CPU的處理能力也很有限。

國內安全設備主要采用的就是基于X86的通用CPU架構。

ASIC架構

ASIC技術是國外網絡設備幾年前廣泛采用的技術。由于采用了硬件轉發(fā)模式、多總線技術、數據層面與控制層面分離等技術， ASIC架構防火墻解決了帶寬容量和性能不足的問題，穩(wěn)定性也得到了很好的保證。

ASIC技術的性能優(yōu)勢主要體現在網絡層轉發(fā)上，華為下一代防火墻公司，而對于需要強大計算能力的應用層數據的處理則不占優(yōu)勢，而且面對頻繁變異的應用安全問題，其靈活性和擴展性也難以滿足要求。

網絡處理器架構

由于網絡處理器所使用的微碼編寫有一定技術難度，下一代防火墻公司，難以實現產品的性能，因此網絡處理器架構的防火墻產品難以占有大量的市場份額。

華為防火墻的策略特點

1.任何兩個安全區(qū)域的優(yōu)先級不能相同。

2.本域內不同接口間的報文不過濾直接轉發(fā)。

3.接口沒有加入域之前不能轉發(fā)報文。

4.在USG系列的防火墻上默認是沒有安全策略的，也就是說，不管是什么區(qū)域之間相互訪問，都必須要配置安全策略，除非是同一區(qū)域報文傳遞。

區(qū)別于傳統(tǒng)的安全策略，一體化的安全策略具有如下特點:

1.策略配置基于全局，不再基于區(qū)域間配置，安全區(qū)域只是條件的可選配置項，也可在一條規(guī)則中配置多個源區(qū)域或目標區(qū)域。

2.默認情況拒絕所有區(qū)域間的流量，必須通過策略配置放行所需流量。

3.安全策略中的默認動作代替了默認bao過濾。傳統(tǒng)的防火墻的bao過濾基于區(qū)域間的，只針對zhi定的區(qū)域間生效，而新一代防火墻的默認動作全局生效，目默認動作為拒絕，即拒絕一切流量，除非允許。

防火墻inbound和outbound不同區(qū)域之間可以設置不同的安全策略，華三H3C下一代防火墻公司，域間的數據流分兩個方向

入方向（Inbound）：數據由低級別的安全區(qū)域向更高一層級別的安全區(qū)域傳輸的方向。

出方向（Outbound）：數據由更高一層級別的安全區(qū)域向低級別的安全區(qū)域傳輸的方向。

因為防火墻的狀態(tài)化檢測機制，所以針對數據流通常只重點處理首報文，華為下一代防火墻公司，安全策略一旦允許首報文允許通過，那么將會形成一個會話表，后續(xù)報文和返回的報文如果匹配到會話表將會直接放行，而不再查看策略，從而提升防火墻的轉發(fā)效率。如，Trust區(qū)域的客戶端訪問UNtrust區(qū)域的互聯網，只需要在Trust到UNtrust的Outbound方向應用安全策略即可，不需要做UNtrust到Trust區(qū)域的安全策略。

下一代防火墻公司-北京盈富邁勝科技公司由北京盈富邁勝科技發(fā)展有限公司提供。北京盈富邁勝科技發(fā)展有限公司位于北京市昌平區(qū)北清路1號珠江摩爾6號樓2單元1110。在市場經濟的浪潮中拼博和發(fā)展，目前北京盈富邁勝在交換機中享有良好的聲譽。北京盈富邁勝取得全網商盟認證，標志著我們的服務和管理水平達到了一個新的高度。北京盈富邁勝全體員工愿與各界有識之士共同發(fā)展，共創(chuàng)美好未來。