1.防火墙的主要功能是实现网络隔离和访问控制

1）.不受信区域：一般指internet

2）.受信区域：一般指内网

3.）DMZ区域：放置公共服务器的区域，能接受外部访问，但不主动访问外部

Aspf:针对应用层的包过滤

2.Secpath 防火墙体系结构

型号：

Secblade: 防火墙插卡

Secpath  F100-C

Secpath  F100-S

Secpath  F100-M

Secpath  F100-A-S

Secpath  F100-A

Secpath  F100-E

Secpath  F1000-M

Secpath  F1000-S

Secpath  F1000-A

Secpath  F1000-E  100w并发连接，每秒新建5w连接  10G吞吐量

3.安全区域

   在H3C SecPath防火墙上，判断数据传输是出方向还是入方向，总是相对高级别的一侧而言，即由高级别区域向低级别区域的数据流动为出方向，由低级别区域向高级别区域数据流动为入方向。

安全区域基本配置包括

  1) 创建安全区域    

  2) 进入安全区域视图

  3) 进入区域间视图

  4) 为安全区域添加接口

  5) 设置安全区域的优先级

缺省情况系，所有接口不属于任何安全区域。     

 一个接口只能属于一个安全区域。将接口加入到一个安全区域中前，

这个接口不能已经属于其他的安全区域，否则需要先将此接口从其他区域中删

缺省情况下，Local区域的优先级别为100，Trust区域的优先级别为85，Untrust区域的优先级别为5，DMZ区域的优先级别为50。系统定义的这些区域的优先级别是不能被更改的。

1. ACL

 基本访问控制列表：仅仅根据数据包的源地址对数据包进行区分

高级访问控制列表：高级访问控制列表可以使用数据包的源地址信息、目的地址信息、IP承载的协议类型、针对协议的特性，例如TCP的源端口，ICMP协议的类型、代码等内容定义规则

基于接口的访问控制列表：

基于MAC的访问控制列表：

5.包过滤技术

       所谓包过滤就是对防火墙需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃的动作

ACL存在的问题：

对于多通道的应用层协议（如FTP、H.323等），部分安全策略无法预知；

无法检测某些来自于应用层的攻击行为（如TCP SYN Java applet等）

Aspf(状态防火墙)

ASPF (Application Specific Packet Filter)是针对应用层及传输层的包过滤，既基于状态的报文过滤。  

ASPF能够实现的应用层协议检测包括：FTP HTTP SMP RTSP H.323(Q.931 H.245 RTP/RTCP)，ASPF能够实现的传输层协议检测包括：通用TCP/UDP的检测

会话状态表:一个会话可以认为是一个tcp连接，会话状态表在检测到第一个外发报文时创建，即通过第一个syn包建立

临时访问控制表：

传输层协议检测的原理：

应用层协议检测优先于传输层协议检测，通用TCP/UDP检测要求流入接口的报文与之前流出接口的报文完全匹配，即源、目的地址及端口号恰好对应，否则返回的报文将被丢弃

部署安全防火墙