华为防火墙状态化信息的含义

在防火墙技术中，通常把两个方向的流量区别对待，因为防火墙的状态化检测机制，所以针对数据流通常只重点处理首ge报文，安全策略一旦允许首ge报文允许通过，那么将会形成一个会话表，后续报文和返回的报文如果匹配到会话表将会直接放行，而不再查看策略，华三H3C下一代防火墙硬件设备，从而提高了防火墙的转发效率。如，Trust区域的客户端访问UNtrust区域的互联网，只需要在Trust到UNtrust的Outbound方向应用安全策略即可，不需要做UNtrust到Trust区域的安全策略。

防火墙通过五元组来唯yi的区分一个数据流，即源IP、目标IP、协议、源端口号、目标端口。防火墙把具有相同五元组内容的数据当做一个数据流，数据包必须同时匹配zhi定的五元组才算匹配到这条策略，否则会继续匹配后续策略，华三H3C下一代防火墙硬件设备，它的匹配规则同样是匹配即停。

前面说到，在防火墙上，首ge报文通过后会创建一个会话表，该会话表只能匹配元组相同的流量，无法匹配其他流量（可能目标IP不同，可能目标端口不同），这也正保证了同一会话的数据流gao效转发及严格的安全策略检查。需要注意的是，会话表是动态生成的，但不是长久存在的，如果长时间没有报文匹配该会话，则证明通信双方已经断开了连接，不再需要这条会话，为了节约系统资源，会在一定时间后删除该会话，这个时间被称为会话的老化时间。一般不会太久，记得Cisco防火墙上的会话表默认老化时间好像是300s。

华为防火墙的网络安全

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，华三H3C下一代防火墙硬件设备，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完可以不必分散在各个主机上，而集中在防火墙一身上。

华为防火墙的基本架构

防火墙的硬件体系结构曾经历过通用CPU架构、ASIC架构和网络处理器架构，他们各自的特点分别如下：

通用CPU架构

通用CPU架构常见的是基于Intel X86架构的防火墙，在百兆防火墙中Intel X86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的青睐；由于采用了PCI总线接口，Intel X86架构的硬件虽然理论上能达到2Gbps的吞吐量甚至更高，但是在实际应用中，下一代防火墙硬件设备，尤其是在小包情况下，远远达不到标称性能，通用CPU的处理能力也很有限。

国内安全设备主要采用的就是基于X86的通用CPU架构。

ASIC架构

ASIC技术是国外网络设备几年前广泛采用的技术。由于采用了硬件转发模式、多总线技术、数据层面与控制层面分离等技术， ASIC架构防火墙解决了带宽容量和性能不足的问题，稳定性也得到了很好的保证。

ASIC技术的性能优势主要体现在网络层转发上，而对于需要强大计算能力的应用层数据的处理则不占优势，而且面对频繁变异的应用安全问题，其灵活性和扩展性也难以满足要求。

网络处理器架构

由于网络处理器所使用的微码编写有一定技术难度，难以实现产品的性能，因此网络处理器架构的防火墙产品难以占有大量的市场份额。

华三H3C下一代防火墙硬件设备-北京盈富迈胜公司由北京盈富迈胜科技发展有限公司提供。北京盈富迈胜科技发展有限公司实力不俗，信誉可靠，在北京 北京市 的交换机等行业积累了大批忠诚的客户。北京盈富迈胜带着精益求精的工作态度和不断的完善创新理念和您携手步入辉煌，共创美好未来！