企业视频展播，请点击播放视频作者：北京盈富迈胜科技发展有限公司华为防火墙的安全区域划分安全区域(SecurityZone)：简称为区域Zone。防火墙通过区域分安全网络和不安全网络，在华为防火墙上安全网络区域是一个多接口的集合，是防火墙区分于路由器的主要特性。华为防火墙默认有四个区域，防御系统公司，分别是Trust、Untrust、DMZ和local。不同区域拥有不同的受信任优先级，防火墙则根据这些区域的优先级来区分区域的保护Trust区域：主要用于连接公司内部网络，优先级为85，安全等级较高。DMZ区域：非jun事化区域，一般公司的web网站和ftp服务器都放在这个区域，其安全性介于Trust区域和Untrue区域之间，优先级为50，安全级别中等。Untrust区域：通常定义外部网络，优先级5，安全等级很低。Untrust区域表示不受信任的区域。Local区域：通常定义防火墙本身，优先级为100.防火墙除了转发区域之间的报文之外，还需要自身接收和发送流量，如网络管理，运行动态路由协议等。其他区域：用户可以自定义区域，默认zui多定义16个区域，自定义区域没有默认优先级，所以需要手动。华为防火墙的策略特点1.任何两个安全区域的优先级不能相同。2.本域内不同接口间的报文不过滤直接转发。3.接口没有加入域之前不能转发报文。4.在USG系列的防火墙上默认是没有安全策略的，华为防御系统公司，也就是说，不管是什么区域之间相互访问，都必须要配置安全策略，除非是同一区域报文传递。区别于传统的安全策略，一体化的安全策略具有如下特点:1.策略配置基于全局，不再基于区域间配置，安全区域只是条件的可选配置项，华三H3C防御系统公司，也可在一条规则中配置多个源区域或目标区域。2.默认情况拒绝所有区域间的流量，必须通过策略配置放行所需流量。3.安全策略中的默认动作代替了默认bao过滤。传统的防火墙的bao过滤基于区域间的，只针对zhi定的区域间生效，而新一代防火墙的默认动作全局生效，目默认动作为拒绝，即拒绝一切流量，华三H3C防御系统公司，除非允许。华为防火墙的基本架构防火墙的硬件体系结构曾经历过通用CPU架构、ASIC架构和网络处理器架构，他们各自的特点分别如下：通用CPU架构通用CPU架构常见的是基于IntelX86架构的防火墙，在百兆防火墙中IntelX86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的青睐；由于采用了PCI总线接口，IntelX86架构的硬件虽然理论上能达到2Gbps的吞吐量甚至更高，但是在实际应用中，尤其是在小包情况下，远远达不到标称性能，通用CPU的处理能力也很有限。国内安全设备主要采用的就是基于X86的通用CPU架构。ASIC架构ASIC技术是国外网络设备几年前广泛采用的技术。由于采用了硬件转发模式、多总线技术、数据层面与控制层面分离等技术，ASIC架构防火墙解决了带宽容量和性能不足的问题，稳定性也得到了很好的保证。ASIC技术的性能优势主要体现在网络层转发上，而对于需要强大计算能力的应用层数据的处理则不占优势，而且面对频繁变异的应用安全问题，其灵活性和扩展性也难以满足要求。网络处理器架构由于网络处理器所使用的微码编写有一定技术难度，难以实现产品的性能，因此网络处理器架构的防火墙产品难以占有大量的市场份额。华三H3C防御系统公司-防御系统公司-盈富迈胜科技有限公司由北京盈富迈胜科技发展有限公司提供。行路致远，砥砺前行。北京盈富迈胜科技发展有限公司致力成为与您共赢、共生、共同前行的战略伙伴，更矢志成为交换机具有竞争力的企业，与您一起飞跃，共同成功!)