防火墙技术和原理防火墙基本概念防火墙发展历程防火墙核心技术防火墙功能与原理防火墙的接入方式防火墙性能防火墙局限性防火墙的两个争议一种高级访问控制设备，置于不同网络安全域之间，它通过相关的安全策略来控制（允许、拒绝、监视、记录）进出网络的访问行为。防火墙基本概念防火墙发展历程防火墙核心技术防火墙功能与原理防火墙的接入方式防火墙性能防火墙局限性防火墙的两个争议基于路由器的防火墙防火墙执行标准防火墙基本概念防火墙发展历程防火墙核心技术防火墙功能与原理防火墙的接入方式防火墙性能防火墙局限性防火墙的两个争议包过滤（Packetfiltering）：工作在网络层，仅根据数据包头中的IP地址、端口号、协议类型等标志确定是否允许数据包通过。应用代理（ApplicationProxy）：工作在应用层，通过编写不同的应用代理程序，实现对应用层数据的检测和分析。状态检测（StatefulInspection）：工作在2~4层，访问控制方式与1同，但处理的对象不是单个数据包，而是整个连接，通过规则表和连接状态表，综合判断是否允许数据包通过。完全内容检测（CompeleteContentInspection）：工作在2~7层，不仅分析数据包头信息、状态信息，而且对应用层协议进行还原和内容分析，有效防范混合型安全威胁。应用层应用层应用层建立状态连接表防火墙基本概念防火墙发展历程防火墙核心技术防火墙功能与原理防火墙的接入方式防火墙性能防火墙局限性防火墙的两个争议基本功能InternetInternetHostC时间控制策略Trunk口QoS带宽管理防火墙具有内置的IDS模块，可以有效检测并抵御常见的攻击行为，用户通过简单设置即可保护指定的网络对象免于受到以下类型的攻击：1.统计型攻击，包括：SynFlood、UDPFLOOD、ICMPFLOOD、IPSWEEP、PORTSCAN。2.异常包攻击，包括：Land、Smurf、PingofDeath、Winnuke、TcpScan、IpOption等抗DOS攻击功能HostC丰富的认证方式和第三方认证支持Internet对DHCP应用环境的支持客户机动态路由功能--RIP动态路由功能--OSPFADSL拨号功能－PPPOEHostC日志分析功能www.sina.com.cnwww.sina.com.cnwww.sina.com.cn高可用性--双机热备功能WWW1防火墙提供了“链路备份”功能来实时监视整个链路的工作情况，一旦发现异常，就立即启动“链路备份”功能自动切换到另一条备用链路，以确保网络的正常通信。高可用性-双系统冗余扩展功能--病毒过滤功能(1)扩展功能--病毒过滤功能(2)扩展功能--IPSECVPN功能支持L2TP/PPTPVPN功能支持DDNS功能防火墙基本概念防火墙发展历程防火墙核心技术防火墙功能与原理防火墙的接入方式防火墙性能防火墙局限性防火墙的两个争议受保护网络受保护网络HostA192.168.1.37防火墙基本概念防火墙发展历程防火墙核心技术防火墙功能与原理防火墙的接入方式防火墙性能防火墙局限性防火墙的两个争议衡量防火墙性能的五大指标吞吐量数据包首先排队待防火墙检查后转发丢包率背靠背并发连接数防火墙基本概念防火墙发展历程防火墙核心技术防火墙功能与原理防火墙的接入方式防火墙性能防火墙局限性防火墙的两个争议防火墙的局限性防火墙基本概念防火墙发展历程防火墙核心技术防火墙功能与原理防火墙的接入方式防火墙性能防火墙局限性防火墙的两个争议防火墙的胖－瘦之争防火墙的硬件架构之争防火墙的“胖”与“瘦”“胖”防火墙是指功能大而全的防火墙，它力图将安全功能尽可能多地包含在内，从而成为用户网络的一个安全平台；胖防火墙的优势与不足访问控制瘦防火墙的优势与不足构建联动、统一的动态安全防护体系争议防火墙硬件架构基于X86架构的防火墙网络处理器NPU则是专门为处理数据包而设计的可编程处理器，同时，其硬件体系结构的设计大多采用高速的接口技术和总线规范，具有较高的I/O能力；NP架构防火墙采用的是微引擎编程，在它的每一个网口上都有一个网络处理器（NPU），具有很强的编程灵活性，是一个高度整合的，可编程的数据处理器。因此，NP架构实质是以软件编码方式处理来自各个网口的数据转发。基于ASIC架构的防火墙最佳组合：在系统控制与管理、数据高速处理转发等方面，通用CPU和可编程ASIC将各司其职，共同为防火墙系统提供灵活的服务！多核多级，整机超百G