華為防火墻的基本架構(gòu)

防火墻的硬件體系結(jié)構(gòu)曾經(jīng)歷過(guò)通用CPU架構(gòu)、ASIC架構(gòu)和網(wǎng)絡(luò)處理器架構(gòu)，他們各自的特點(diǎn)分別如下：

通用CPU架構(gòu)

通用CPU架構(gòu)常見(jiàn)的是基于Intel X86架構(gòu)的防火墻，在百兆防火墻中Intel X86架構(gòu)的硬件以其高靈活性和擴(kuò)展性一直受到防火墻廠(chǎng)商的青睞；由于采用了PCI總線(xiàn)接口，Intel X86架構(gòu)的硬件雖然理論上能達(dá)到2Gbps的吞吐量甚至更高，但是在實(shí)際應(yīng)用中，尤其是在小包情況下，遠(yuǎn)遠(yuǎn)達(dá)不到標(biāo)稱(chēng)性能，通用CPU的處理能力也很有限。

國(guó)內(nèi)安全設(shè)備主要采用的就是基于X86的通用CPU架構(gòu)。

ASIC架構(gòu)

ASIC技術(shù)是國(guó)外網(wǎng)絡(luò)設(shè)備幾年前廣泛采用的技術(shù)。由于采用了硬件轉(zhuǎn)發(fā)模式、多總線(xiàn)技術(shù)、數(shù)據(jù)層面與控制層面分離等技術(shù)， ASIC架構(gòu)防火墻解決了帶寬容量和性能不足的問(wèn)題，穩(wěn)定性也得到了很好的保證。

ASIC技術(shù)的性能優(yōu)勢(shì)主要體現(xiàn)在網(wǎng)絡(luò)層轉(zhuǎn)發(fā)上，而對(duì)于需要強(qiáng)大計(jì)算能力的應(yīng)用層數(shù)據(jù)的處理則不占優(yōu)勢(shì)，而且面對(duì)頻繁變異的應(yīng)用安全問(wèn)題，其靈活性和擴(kuò)展性也難以滿(mǎn)足要求。

網(wǎng)絡(luò)處理器架構(gòu)

由于網(wǎng)絡(luò)處理器所使用的微碼編寫(xiě)有一定技術(shù)難度，難以實(shí)現(xiàn)產(chǎn)品的性能，華三H3C下一代防火墻，因此網(wǎng)絡(luò)處理器架構(gòu)的防火墻產(chǎn)品難以占有大量的市場(chǎng)份額。

華為防火墻區(qū)別與傳統(tǒng)的安全策略，一體化策略具有以下特點(diǎn)

區(qū)別與傳統(tǒng)的安全策略，一體化策略具有以下特點(diǎn)：

策略配置基于全局，不再基于區(qū)域間配置，安全區(qū)域只是條件的可選配置項(xiàng)，也可在一條規(guī)則中配置多個(gè)源區(qū)域或目標(biāo)區(qū)域。

默認(rèn)情況拒絕所有區(qū)域間的流量，包括Outbound流量。必須通過(guò)策略配置放行所需流量。

安全策略中的默認(rèn)動(dòng)作代替了默認(rèn)過(guò)濾。傳統(tǒng)的防火墻的過(guò)濾基于區(qū)域間的，只針對(duì)特定的區(qū)域間生效，而新一代防火墻的默認(rèn)動(dòng)作全局生效，且默認(rèn)動(dòng)作為拒絕，即拒絕一切流量，除非允許。

華為防火墻默認(rèn)有4個(gè)區(qū)域，分別是local，華三H3C下一代防火墻公司，trust、untrust、dmz。

華為防火墻默認(rèn)有4個(gè)區(qū)域，分別是local，trust、untrust、dmz。不同的區(qū)域擁有不同的受信優(yōu)先級(jí)。防火墻根據(jù)這些區(qū)域的受信優(yōu)先級(jí)來(lái)區(qū)分區(qū)域的保護(hù)級(jí)別。安全級(jí)別由1~100的阿拉伯?dāng)?shù)字來(lái)表示，華三H3C下一代防火墻設(shè)備，數(shù)字越大，華三H3C下一代防火墻價(jià)格，則代表該區(qū)域內(nèi)的網(wǎng)絡(luò)越可信。

trust區(qū)域：主要用于連接公司的內(nèi)部網(wǎng)絡(luò) 默認(rèn)安全級(jí)別為 85。

untrust區(qū)域：定義為外部網(wǎng)絡(luò)，安全級(jí)別為5，安全級(jí)別很低。untrust區(qū)域表示不受信任的區(qū)域，互連網(wǎng)上威脅較多，所以把internet等不安全網(wǎng)絡(luò)劃入該區(qū)域。

Dmz區(qū)域：非軍人化區(qū)域， 在防火墻中通常定義為需要對(duì)外提供服務(wù)的網(wǎng)絡(luò)，其安全性介于trust區(qū)域和untrust區(qū)域之間，安全級(jí)別為50

local區(qū)域：通常定義防火墻本身安全級(jí)別為100

北京盈富邁勝公司-華三H3C下一代防火墻設(shè)備由北京盈富邁勝科技發(fā)展有限公司提供?！敖粨Q機(jī),路由器,防火墻,無(wú)線(xiàn)AP,光模塊”選擇北京盈富邁勝科技發(fā)展有限公司，公司位于：北京市昌平區(qū)北清路1號(hào)珠江摩爾6號(hào)樓2單元1110，多年來(lái)，北京盈富邁勝堅(jiān)持為客戶(hù)提供好的服務(wù)，聯(lián)系人：田經(jīng)理。歡迎廣大新老客戶(hù)來(lái)電，來(lái)函，親臨指導(dǎo)，洽談業(yè)務(wù)。北京盈富邁勝期待成為您的長(zhǎng)期合作伙伴！