防火墻解決方案模版

防火墻解決方案模版防火墻解決方案模版防火墻解決方案模版資料僅供參考文件編號：2022年4月防火墻解決方案模版版本號：A修改號：1頁次：1.0審核：批準(zhǔn):發(fā)布日期：內(nèi)容簡述用途密級說明上次修改SecPath防火墻技術(shù)建議書模板用于撰寫和SecPath防火墻相關(guān)的技術(shù)建議書內(nèi)部公開，嚴(yán)禁外傳2005-7-12防火墻解決方案模版杭州華三通信技術(shù)有限公司安全產(chǎn)品行銷部200目錄TOC\o"1-4"\h\z一、 防火墻部署需求分析 3二、 防火墻部署解決方案 4. 數(shù)據(jù)中心防火墻部署 4. Internet邊界安全防護(hù) 6. 大型網(wǎng)絡(luò)內(nèi)部隔離 9三、 防火墻部署方案特點(diǎn) 12防火墻部署需求分析隨著網(wǎng)絡(luò)技術(shù)不斷的發(fā)展以及網(wǎng)絡(luò)建設(shè)的復(fù)雜化，需要加強(qiáng)對的有效管理和控制，這些管理和控制的需求主要體現(xiàn)在以下幾個(gè)方面：網(wǎng)絡(luò)隔離的需求：主要是指能夠?qū)W(wǎng)絡(luò)區(qū)域進(jìn)行分割，對不同區(qū)域之間的流量進(jìn)行控制，控制的參數(shù)應(yīng)該包括：數(shù)據(jù)包的源地址、目的地址、源端口、目的端口、網(wǎng)絡(luò)協(xié)議等，通過這些參數(shù)，可以實(shí)現(xiàn)對網(wǎng)絡(luò)流量的驚喜控制，把可能的安全風(fēng)險(xiǎn)控制在相對獨(dú)立的區(qū)域內(nèi)，避免安全風(fēng)險(xiǎn)的大規(guī)模擴(kuò)散。攻擊防范的能力：由于TCP/IP協(xié)議的開放特性，尤其是IPV4，缺少足夠的安全特性的考慮，帶來了非常大的安全風(fēng)險(xiǎn)，常見的IP地址竊取、IP地址假冒，網(wǎng)絡(luò)端口掃描以及危害非常大的拒絕服務(wù)攻擊（DOS、DDOS）等，必須能夠提供對這些攻擊行為有效的檢測和防范能力的措施。流量管理的需求：對于用戶應(yīng)用網(wǎng)絡(luò)，必須提供靈活的流量管理能力，保證關(guān)鍵用戶和關(guān)鍵應(yīng)用的網(wǎng)絡(luò)帶寬，同時(shí)應(yīng)該提供完善的QOS機(jī)制，保證數(shù)據(jù)傳輸?shù)馁|(zhì)量。另外，應(yīng)該能夠?qū)σ恍┏Ｒ姷母邔訁f(xié)議，提供細(xì)粒度的控制和過濾能力，比如可以支持WEB和MAIL的過濾，可以支持BT識別并限流等能力；用戶管理的需求：內(nèi)部網(wǎng)絡(luò)用戶接入局域網(wǎng)、接入廣域網(wǎng)或者接入Internet，都需要對這些用戶的網(wǎng)絡(luò)應(yīng)用行為進(jìn)行管理，包括對用戶進(jìn)行身份認(rèn)證，對用戶的訪問資源進(jìn)行限制，對用戶的網(wǎng)絡(luò)訪問行為進(jìn)行控制等；防火墻部署解決方案防火墻是網(wǎng)絡(luò)系統(tǒng)的核心基礎(chǔ)防護(hù)措施，它可以對整個(gè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)區(qū)域分割，提供基于IP地址和TCP/IP服務(wù)端口等的訪問控制；對常見的網(wǎng)絡(luò)攻擊方式，如拒絕服務(wù)攻擊（pingofdeath,land,synflooding,pingflooding,teardrop,…）、端口掃描（portscanning）、IP欺騙(ipspoofing)、IP盜用等進(jìn)行有效防護(hù)；并提供NAT地址轉(zhuǎn)換、流量限制、用戶認(rèn)證、IP與MAC綁定等安全增強(qiáng)措施。根據(jù)不同的網(wǎng)絡(luò)結(jié)構(gòu)、不同的網(wǎng)絡(luò)規(guī)模、以及網(wǎng)絡(luò)中的不同位置的安全防護(hù)需求，防火墻一般存在以下幾種部署模式：數(shù)據(jù)中心防火墻部署防火墻可以部署在網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)中心的前面，實(shí)現(xiàn)對所有訪問數(shù)據(jù)中心服務(wù)器的網(wǎng)絡(luò)流量進(jìn)行控制，提供對數(shù)據(jù)中心服務(wù)器的保護(hù)，其基本部署模式如下圖所示：除了完善的隔離控制能力和安全防范能力，數(shù)據(jù)中心防火墻的部署還需要考慮兩個(gè)關(guān)鍵特性：高性能：數(shù)據(jù)中心部署大量的服務(wù)器，是整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流量的匯集點(diǎn)，因此要求防火墻必須具備非常高的性能，保證部署防火墻后不會影響這些大流量的數(shù)據(jù)傳輸，不能成為性能的瓶頸；高可靠：大部分的應(yīng)用系統(tǒng)服務(wù)器都部署在數(shù)據(jù)中心，這些服務(wù)器是整個(gè)企業(yè)或者單位運(yùn)行的關(guān)鍵支撐，必須要嚴(yán)格的保證這些服務(wù)器可靠性與可用性，因此，部署防火墻以后，不能對網(wǎng)絡(luò)傳輸?shù)目煽啃栽斐捎绊?，不能形成單點(diǎn)故障。 基于上述兩個(gè)的關(guān)鍵特性，我們建議進(jìn)行以下設(shè)備部署模式和配置策略的建議：設(shè)備部署模式：如上圖所示，我們建議在兩臺核心交換機(jī)與兩臺數(shù)據(jù)中心交換機(jī)之間配置兩臺防火墻，兩臺防火墻與兩臺核心交換機(jī)以及兩臺數(shù)據(jù)中心交換機(jī)之間采取全冗余連接；為了保證系統(tǒng)的可靠性，我們建議配置兩臺防火墻為雙機(jī)熱備方式，在實(shí)現(xiàn)安全控制的同時(shí)保證線路的可靠性，同時(shí)可以與動(dòng)態(tài)路由策略組合，實(shí)現(xiàn)流量負(fù)載分擔(dān)；安全控制策略：防火墻設(shè)置為默認(rèn)拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒有明確的規(guī)則允許通過，全部拒絕以保證安全；建議在兩臺防火墻上設(shè)定嚴(yán)格的訪問控制規(guī)則，配置只有規(guī)則允許的IP地址或者用戶能夠訪問數(shù)據(jù)中心中的指定的資源，嚴(yán)格限制網(wǎng)絡(luò)用戶對數(shù)據(jù)中心服務(wù)器的資源，以避免網(wǎng)絡(luò)用戶可能會對數(shù)據(jù)中心的攻擊、非授權(quán)訪問以及病毒的傳播，保護(hù)數(shù)據(jù)中心的核心數(shù)據(jù)信息資產(chǎn)；配置防火墻防DOS/DDOS功能，對Land、Smurf、Fraggle、PingofDeath、TearDrop、SYNFlood、ICMPFlood、UDPFlood等拒絕服務(wù)攻擊進(jìn)行防范，可以實(shí)現(xiàn)對各種拒絕服務(wù)攻擊的有效防范，保證網(wǎng)絡(luò)帶寬；配置防火墻全面攻擊防范能力，包括ARP欺騙攻擊的防范，提供ARP主動(dòng)反向查詢、TCP報(bào)文標(biāo)志位不合法攻擊防范、超大ICMP報(bào)文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達(dá)報(bào)文控制功能、Tracert報(bào)文控制功能、帶路由記錄選項(xiàng)IP報(bào)文控制功能等，全面防范各種網(wǎng)絡(luò)層的攻擊行為；根據(jù)需要，配置IP/MAC綁定功能，對能夠識別MAC地址的主機(jī)進(jìn)行鏈路層控制，實(shí)現(xiàn)只有IP/MAC匹配的用戶才能訪問數(shù)據(jù)中心的服務(wù)器；其他可選策略：可以啟動(dòng)防火墻身份認(rèn)證功能，通過內(nèi)置數(shù)據(jù)庫或者標(biāo)準(zhǔn)Radius屬性認(rèn)證，實(shí)現(xiàn)對用戶身份認(rèn)證后進(jìn)行資源訪問的授權(quán)，進(jìn)行更細(xì)粒度的用戶識別和控制；根據(jù)需要，在兩臺防火墻上設(shè)置流量控制規(guī)則，實(shí)現(xiàn)對服務(wù)器訪問流量的有效管理，有效的避免網(wǎng)絡(luò)帶寬的浪費(fèi)和濫用，保護(hù)關(guān)鍵服務(wù)器的網(wǎng)絡(luò)帶寬；根據(jù)應(yīng)用和管理的需要，設(shè)置有效工作時(shí)間段規(guī)則，實(shí)現(xiàn)基于時(shí)間的訪問控制，可以組合時(shí)間特性，實(shí)現(xiàn)更加靈活的訪問控制能力；在防火墻上進(jìn)行設(shè)置告警策略，利用靈活多樣的告警響應(yīng)手段（E-mail、日志、SNMP陷阱等），實(shí)現(xiàn)攻擊行為的告警，有效監(jiān)控網(wǎng)絡(luò)應(yīng)用；啟動(dòng)防火墻日志功能，利用防火墻的日志記錄能力，詳細(xì)完整的記錄日志和統(tǒng)計(jì)報(bào)表等資料，實(shí)現(xiàn)對網(wǎng)絡(luò)訪問行為的有效的記錄和統(tǒng)計(jì)分析；設(shè)備選型建議：我們建議選擇H3CSecPath18Internet邊界安全防護(hù)在Internet邊界部署防火墻是防火墻最主要的應(yīng)用模式，絕大部分網(wǎng)絡(luò)都會接入Internet，因此會面臨非常大的來自Internet的攻擊的風(fēng)險(xiǎn)，需要一種簡易有效的安全防護(hù)手段，Internet邊界防火墻有多種部署模式，基本部署模式如下圖所示：通過在Internet邊界部署防火墻，主要目的是實(shí)現(xiàn)以下三大功能：來自Internet攻擊的防范：隨著網(wǎng)絡(luò)技術(shù)不斷的發(fā)展，Internet上的現(xiàn)成的攻擊工具越來越多，而且可以通過Internet廣泛傳播，由此導(dǎo)致Internet上的攻擊行為也越來越多，而且越來越復(fù)雜，防火墻必須可以有效的阻擋來自Internet的各種攻擊行為；Internet服務(wù)器安全防護(hù)：企業(yè)接入Internet后，大都會利用Internet這個(gè)大網(wǎng)絡(luò)平臺進(jìn)行信息發(fā)布和企業(yè)宣傳，需要在Internet邊界部署服務(wù)器，因此，必須在能夠提供Internet上的公眾訪問這些服務(wù)器的同時(shí)，保證這些服務(wù)器的安全；內(nèi)部用戶訪問Internet管理：必須對內(nèi)部用戶訪問Internet行為進(jìn)行細(xì)致的管理，比如能夠支持WEB、郵件、以及BT等應(yīng)用模式的內(nèi)容過濾，避免網(wǎng)絡(luò)資源的濫用，也避免通過Internet引入各種安全風(fēng)險(xiǎn)；基于上述需求，我們建議在Internet邊界，采取以下防火墻部署策略：設(shè)備部署模式：如上圖所示，我們建議在核心交換機(jī)與Internet路由器之間配置兩臺防火墻，兩臺防火墻與核心交換機(jī)以及Internet路由器之間采取全冗余連接，保證系統(tǒng)的可靠性，為了保證系統(tǒng)的可靠性，我們建議配置兩臺防火墻為雙機(jī)熱備方式，在實(shí)現(xiàn)安全控制同時(shí)保證線路的可靠性，同時(shí)可以與內(nèi)網(wǎng)動(dòng)態(tài)路由策略組合，實(shí)現(xiàn)流量負(fù)載分擔(dān)；安全控制策略：防火墻設(shè)置為默認(rèn)拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒有明確的規(guī)則允許通過，全部拒絕以保證安全；配置防火墻防DOS/DDOS功能，對Land、Smurf、Fraggle、PingofDeath、TearDrop、SYNFlood、ICMPFlood、UDPFlood等拒絕服務(wù)攻擊進(jìn)行防范；配置防火墻全面安全防范能力，包括ARP欺騙攻擊的防范，提供ARP主動(dòng)反向查詢、TCP報(bào)文標(biāo)志位不合法攻擊防范、超大ICMP報(bào)文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達(dá)報(bào)文控制功能、Tracert報(bào)文控制功能、帶路由記錄選項(xiàng)IP報(bào)文控制功能等；由外往內(nèi)的訪問控制規(guī)則：通過防火墻的訪問控制策略，拒絕任何來自Internet對內(nèi)網(wǎng)的訪問數(shù)據(jù)，保證任何Internet數(shù)據(jù)都不能主動(dòng)進(jìn)入內(nèi)部網(wǎng)，屏蔽所有來自Internet的攻擊行為；由外往DMZ的訪問控制規(guī)則：通過防火墻的訪問控制策略，控制來自Internet用戶只能訪問DMZ區(qū)服務(wù)器的特定端口，比如WWW服務(wù)器80端口、Mail服務(wù)器的25/110端口等，其他通信端口一律拒絕訪問，保證部屬在DMZ區(qū)的服務(wù)器在安全的前提下，有效提供所需的服務(wù)；由內(nèi)往外的訪問控制規(guī)則：通過防火墻的訪問控制策略，對內(nèi)部用戶訪問Internet進(jìn)行基于IP地址的控制，初步實(shí)現(xiàn)控制內(nèi)部用戶能否訪問Internet，能夠訪問什么樣的Inertnet資源；通過配置防火墻提供的IP/MAC地址綁定功能，以及身份認(rèn)證功能，提供對內(nèi)部用戶訪問Internet的更嚴(yán)格有效的控制能力，加強(qiáng)內(nèi)部用戶訪問Internet控制能力；通過配置防火墻提供的SMTP郵件過濾功能和HTTP內(nèi)容過濾，實(shí)現(xiàn)對用戶訪問Internet的細(xì)粒度的訪問控制能力，實(shí)現(xiàn)基本的用戶訪問Internet的行為管理；由內(nèi)往DMZ的訪問控制規(guī)則：通過防火墻的訪問控制策略，控制來自內(nèi)部用戶只能訪問DMZ區(qū)服務(wù)器的特定端口，比如WWW服務(wù)器80端口、Mail服務(wù)器的25/110端口等，其他通信端口一律拒絕訪問，保證部屬在DMZ區(qū)的服務(wù)器在安全的前提下，有效提供所需的服務(wù)；對于服務(wù)器管理員，通過防火墻策略設(shè)置，進(jìn)行嚴(yán)格的身份認(rèn)證等措施后，可以進(jìn)行比較寬的訪問權(quán)限的授予，在安全的基礎(chǔ)上保證管理員的網(wǎng)絡(luò)訪問能力；由DMZ往內(nèi)的訪問控制規(guī)則：通過防火墻的訪問控制策略，嚴(yán)格控制DMZ區(qū)服務(wù)器不能訪問或者只能訪問內(nèi)部網(wǎng)絡(luò)的必需的資源，避免DMZ區(qū)服務(wù)器被作為跳板攻擊內(nèi)部網(wǎng)用戶和相關(guān)資源；其他可選策略：可以啟動(dòng)防火墻身份認(rèn)證功能，通過內(nèi)置數(shù)據(jù)庫或者標(biāo)準(zhǔn)Radius屬性認(rèn)證，實(shí)現(xiàn)對用戶身份認(rèn)證后進(jìn)行資源訪問的授權(quán)；根據(jù)需要，在兩臺防火墻上設(shè)置流量控制規(guī)則，實(shí)現(xiàn)對網(wǎng)絡(luò)流量的有效管理，有效的避免網(wǎng)絡(luò)帶寬的浪費(fèi)和濫用，保護(hù)網(wǎng)絡(luò)帶寬；根據(jù)應(yīng)用和管理的需要，設(shè)置有效工作時(shí)間段規(guī)則，實(shí)現(xiàn)基于時(shí)間的訪問控制，可以組合時(shí)間特性，實(shí)現(xiàn)更加靈活的訪問控制能力；在防火墻上進(jìn)行設(shè)置告警策略，利用靈活多樣的告警響應(yīng)手段（E-mail、日志、SNMP陷阱等），實(shí)現(xiàn)攻擊行為的告警，有效監(jiān)控網(wǎng)絡(luò)應(yīng)用；啟動(dòng)防火墻日志功能，利用防火墻的日志記錄能力，詳細(xì)完整的記錄日志和統(tǒng)計(jì)報(bào)表等資料，實(shí)現(xiàn)對網(wǎng)絡(luò)訪問行為的有效的記錄和統(tǒng)計(jì)分析；設(shè)備選型建議：我們建議選擇H3CSecPath1000F/100F防火墻，詳細(xì)的產(chǎn)品介紹見附件；大型網(wǎng)絡(luò)內(nèi)部隔離在比較大規(guī)?；蛘弑容^復(fù)雜的網(wǎng)絡(luò)中，需要對內(nèi)部網(wǎng)絡(luò)進(jìn)行有效的管理，以實(shí)現(xiàn)對整個(gè)網(wǎng)絡(luò)流量的控制和安全風(fēng)險(xiǎn)的隔離，其基本的防火墻部署模式如下圖所示：企業(yè)內(nèi)部隔離防火墻主要應(yīng)用在比較大型的網(wǎng)絡(luò)中，這些網(wǎng)絡(luò)一般有多個(gè)層次的劃分，會有多個(gè)相對獨(dú)立的網(wǎng)絡(luò)接入節(jié)點(diǎn)，需要對這些節(jié)點(diǎn)流量進(jìn)行隔離和控制。在這種大規(guī)模的分布式的部署模式中，對防火墻的關(guān)鍵性的要求主要集中在管理特性上，要求防火墻必須支持完善的集中管理模式，通過統(tǒng)一的管理中心，可以實(shí)現(xiàn)對全網(wǎng)部署的防火墻的集中管理，并且可以支持分級管理?；谶@種需求，我們建議進(jìn)行如下防火墻部署：設(shè)備部署模式：如上圖所示，我們建議在總部核心交換機(jī)與廣域路由器之間配置兩臺防火墻，兩臺防火墻與核心交換機(jī)以及廣域路由器之間采取全冗余連接，保證系統(tǒng)的可靠性；為了保證系統(tǒng)的可靠性，我們建議配置兩臺防火墻為雙機(jī)熱備方式，在實(shí)現(xiàn)安全控制同時(shí)保證線路的可靠性，同時(shí)可以與內(nèi)網(wǎng)動(dòng)態(tài)路由策略組合，實(shí)現(xiàn)流量負(fù)載分擔(dān)；安全控制策略：防火墻設(shè)置為默認(rèn)拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒有明確的規(guī)則允許通過，全部拒絕以保證安全；配置防火墻防DOS/DDOS功能，對Land、Smurf、Fraggle、PingofDeath、TearDrop、SYNFlood、ICMPFlood、UDPFlood等拒絕服務(wù)攻擊進(jìn)行防范，可以實(shí)現(xiàn)對各種拒絕服務(wù)攻擊的有效防范，保證網(wǎng)絡(luò)帶寬；配置防火墻全面攻擊防范能力，包括ARP欺騙攻擊的防范，提供ARP主動(dòng)反向查詢、TCP報(bào)文標(biāo)志位不合法攻擊防范、超大ICMP報(bào)文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達(dá)報(bào)文控制功能、Tracert報(bào)文控制功能、帶路由記錄選項(xiàng)IP報(bào)文控制功能等，全面防范各種網(wǎng)絡(luò)層的攻擊行為；根據(jù)需要，配置IP/MAC綁定功能，對能夠識別MAC地址的主機(jī)進(jìn)行鏈路層控制；由上往下的訪問控制規(guī)則：建議在兩臺防火墻上設(shè)定嚴(yán)格的訪問控制規(guī)則，對實(shí)現(xiàn)總部網(wǎng)絡(luò)訪問下級網(wǎng)絡(luò)的嚴(yán)格控制，只有規(guī)則允許的IP地址或者用戶能夠訪問下級網(wǎng)絡(luò)中的指定的資源，以避免總部網(wǎng)絡(luò)可能會對下級網(wǎng)絡(luò)的攻擊、非授權(quán)訪問以及病毒的傳播；由上往下的訪問控制規(guī)則：建議在兩臺防火墻上設(shè)定嚴(yán)格的訪問控制規(guī)則，對實(shí)現(xiàn)下級網(wǎng)絡(luò)訪問總部局域網(wǎng)的嚴(yán)格控制，只有規(guī)則允許的IP地址或者用戶能夠訪問總部局域網(wǎng)的指定的資源，以避免下級網(wǎng)絡(luò)中復(fù)雜的用戶可能會對總部網(wǎng)絡(luò)的攻擊、非授權(quán)訪問以及病毒的傳播；其他可選策略：可以啟動(dòng)防火墻身份認(rèn)證功能，通過內(nèi)置數(shù)據(jù)庫或者標(biāo)準(zhǔn)Radius屬性認(rèn)證，實(shí)現(xiàn)對用戶身份認(rèn)證后進(jìn)行資源訪問的授權(quán)；根據(jù)需要，在兩臺防火墻上設(shè)置流量控制規(guī)則，實(shí)現(xiàn)對網(wǎng)絡(luò)流量的有效管理，有效的避免網(wǎng)絡(luò)帶寬的浪費(fèi)和濫用，保護(hù)網(wǎng)絡(luò)帶寬；根據(jù)應(yīng)用和管理的需要，設(shè)置有效工作時(shí)間段規(guī)則，實(shí)現(xiàn)基于時(shí)間的訪問控制，可以組合時(shí)間特性，實(shí)現(xiàn)更加靈活的訪問控制能力；在防火墻上進(jìn)行設(shè)置告警策略，利用靈活多樣的告警響應(yīng)手段（E-mail、日志、SNMP陷阱等），實(shí)現(xiàn)攻擊行為的告警，有效監(jiān)控網(wǎng)絡(luò)應(yīng)用；啟動(dòng)防火墻日志功能，利用防火墻的日志記錄能力，詳細(xì)完整的記錄日志和統(tǒng)計(jì)報(bào)表等資料，實(shí)現(xiàn)對網(wǎng)絡(luò)訪問行為的有效的記錄和統(tǒng)計(jì)分析；設(shè)備選型建議：我們建議選擇H3CSecPath1000F/100F防火墻部署方案特點(diǎn)高安全：防火墻的安全特性主要體現(xiàn)在以下幾個(gè)方面：防火墻自身的安全性：指防火墻抵抗針對防火墻系統(tǒng)自身攻擊的風(fēng)險(xiǎn)，很多防火墻自身都存在一些安全漏洞，可能會被攻擊者利用，尤其是一些基于Linux操作系統(tǒng)平臺的防火墻；防火墻安全控制能力：主要指防火墻通過包過濾、代理或者狀態(tài)檢測等機(jī)制對進(jìn)出的數(shù)據(jù)流進(jìn)行網(wǎng)絡(luò)層的控制，一般防火墻都支持狀態(tài)檢測機(jī)制，狀態(tài)檢測已經(jīng)是一種比較成熟的模式，不存在太多的差別，關(guān)鍵的差別在于對不同應(yīng)用協(xié)議的支持能力，尤其是一些語音、視頻等相關(guān)的協(xié)議；防火墻防御DOS/DDOS攻擊的能力：所有的DOS/DDOS攻擊的流量只要經(jīng)過防火墻，防火墻必須有足夠強(qiáng)的能力處理這些數(shù)據(jù)流，并且能把這些惡意數(shù)據(jù)有效的過濾掉，對相關(guān)的網(wǎng)段提供性能保護(hù)。高層應(yīng)用協(xié)議的控制能力：防火墻應(yīng)該能夠?qū)σ恍┏Ｒ姷母邔訁f(xié)議，提供細(xì)粒度的控制和過濾能力，比如可以支持WEB和MAIL的過濾，可以支持BT識別并限流等能力；H3C防火墻優(yōu)勢：H3CSecPath防火墻提供標(biāo)準(zhǔn)和擴(kuò)展的ACL包過濾，支持H3C特有的ASPF(ApplicationSpecificPacketFilter)技術(shù)，可實(shí)現(xiàn)對每一個(gè)連接狀態(tài)信息的維護(hù)監(jiān)測并動(dòng)態(tài)地過濾數(shù)據(jù)包，支持對HTTP、FTP、RTSP、（包括、、RAS、等）以及通用的TCP、UDP應(yīng)用進(jìn)行狀態(tài)監(jiān)控。SecPath防火墻提供多種攻擊防范技術(shù)和智能防蠕蟲病毒技術(shù)，有效的抵御各種攻擊。SecPath防火墻支持應(yīng)用層過濾，提供JavaBlocking和ActiveXBlocking，支持細(xì)粒度內(nèi)容過濾能力：包括SMTP郵件地址過濾、SMTP郵件標(biāo)題過濾、SMTP郵件內(nèi)容過濾、HTTPURL過濾、HTTP內(nèi)容過濾等等；高性能：防火墻的性能特性主要體現(xiàn)在以下幾個(gè)方面：吞吐量：吞吐量指防火墻在狀態(tài)檢測機(jī)制下能夠處理一定包長數(shù)據(jù)的最大轉(zhuǎn)發(fā)能力，業(yè)界默認(rèn)一般都采用大包衡量防火墻對報(bào)文的處理能力；最大并發(fā)連接數(shù)：由于防火墻是針對連接進(jìn)行處理報(bào)文的，并發(fā)連接數(shù)目是指的防火墻可以同時(shí)容納的最大的連接數(shù)目，一個(gè)連接就是一個(gè)TCP/UDP的訪問；每秒新建連接數(shù)：指每秒鐘可以通過防火墻建立起來的完整TCP/UDP連接。該指標(biāo)主要用來衡量防火墻在處理過程中對報(bào)文連接的處理速度，如果該指標(biāo)低會造成用戶明顯感覺上網(wǎng)速度慢，在用戶量較大的情況下容易造成防火墻處理能力急劇下降，并且會造成防火墻對網(wǎng)絡(luò)病毒防范能力很差；H3C防火墻優(yōu)勢：H3CSecPath防火墻是基于MIPS架構(gòu)的NP處理器技術(shù)的防火墻，處理性能更加優(yōu)越，并且系統(tǒng)更穩(wěn)定。高端旗艦產(chǎn)品SecPathF1800-A