飛塔防火墻

FortiGate; 企業(yè)級系列產(chǎn)品包括 FortiGate-400、400A、500、500A和800，能夠滿足普通企業(yè)的對性能、可用性和可靠性的需求。它們和其他型號產(chǎn)品一樣具有所有主要功能，比如集成的防病毒、防火墻、VPN、IPS和流量整形等功能。企業(yè)級產(chǎn)品的吞吐量最大可以達到1Gbps，具有高可用性(會話級別切換)，多個安全區(qū)等功能，因此說它們是企業(yè)的關鍵應用的最佳選擇。

FortiGate-400 并發(fā)會話數(shù)400000，新建會話數(shù)10000,處理能力500M，3DES處理能力140M,1500個VPN通道

2 GE and 4 10/100 以太接口

FortiGate-400 病毒防火墻為企業(yè)級的網(wǎng)絡安全設備。能夠即時監(jiān)測病毒與蠕蟲、過濾網(wǎng)絡數(shù)據(jù)包內(nèi)容，并提供高效能之防火墻、VPN、和流量監(jiān)控等功能。FortiGate-400病毒防火墻具備所謂的高可用性(HA)和故障恢復功能，完全可以滿足企業(yè)的關鍵業(yè)務的安全需求。

本產(chǎn)品為中型企業(yè)提供全方位的網(wǎng)絡防護的最佳解決方案。

多重安全區(qū)的管理可以實現(xiàn)完了國分段的功能，網(wǎng)絡管理者可以針對所屬安全區(qū)的子網(wǎng)絡制定完善的安全策略和網(wǎng)絡流量控制。

FortiGate-400A 病毒防火墻為日益擴大的企業(yè)用戶提供了高性能、高安全的，部署靈活的安全防護體系。FortiGate-400A的系統(tǒng)平臺具有2個10/100/1000通訊接口，為擴展到千兆環(huán)境預留了空間，4個可用戶定義的10/100通訊接口，可以實現(xiàn)冗余的WAN接入。本系統(tǒng)具有高可用性與多個安全區(qū)管理的功能，網(wǎng)絡管理者可以針對所屬的區(qū)域定制完善的安全策略和網(wǎng)絡流量控制。

本產(chǎn)品具有2個千兆以太網(wǎng)接口和4個可用戶定義的10/100個接口，可以滿足中型企業(yè)的擴展性要求。

可以作為高性能的病毒和內(nèi)容過濾的網(wǎng)關;或者作為企業(yè)網(wǎng)絡的防火墻，提供所屬的網(wǎng)絡的全面的內(nèi)容防護功能，其包括入侵檢測和防御與vpn等功能。

Fortinet由Ken Xie(謝青)在2000年創(chuàng)建，Ken Xie曾經(jīng)是NetScreen公司(后為Juniper公司以35 億多美元并購)有遠見的創(chuàng)始人、總裁和CEO。 Fortinet由一支強大的、在網(wǎng)絡和安全領域富有豐富經(jīng)驗的管理團隊領導。 處于領先地位的Fortinet，作為一家私有網(wǎng)絡安全公司得到工業(yè)界資深的風險基金投資超過一億美元。

中小型企業(yè)系列產(chǎn)品/適合于家庭辦公室和中小企業(yè)的 FortiGate; 安全平臺

FortiGate–50B、60系列、100A、200A 和 300A 病毒防火墻是功能強大，多

合一的網(wǎng)絡安全解決方案。本系列的產(chǎn)品適合于小型辦公室、家庭辦公室、

中小企業(yè)、分公司辦公室等等客戶。產(chǎn)品管理界面簡單易操作，為客戶降

低了使用成本和超額的價值。 本產(chǎn)品具有多種安全功能 – 包括防病毒、防

火墻、VPN、入侵檢測/防御、內(nèi)容過濾和流量控制等?，F(xiàn)在我們的企業(yè)客戶

能夠在不降低網(wǎng)絡性能和不增加成本的基礎上，享受網(wǎng)絡安全服務。 FortiG

ate的安裝向?qū)Э梢詭椭蛻艚?jīng)過簡單的幾步，幾分鐘內(nèi)就可以完成安裝和運

轉(zhuǎn)。設備的吞吐量從30Mbps到200Mbps。FortiGate-50B、60 系列、100A、

200A 和 300A 能夠保護企業(yè)的網(wǎng)絡，使其免受網(wǎng)絡的攻擊與威脅。

FortiGate-50B 5 10/100 ,并發(fā)25000新建2000，50M/48,20VPN

FortiGate-50B 可以滿足小型辦公室/家庭辦公(SOHO)應用需求。安裝向?qū)沟冒惭b部署簡便易行，幾分鐘內(nèi)就可以讓FortiGate-50B運行起來。FortiGate-50B 功能全面，可以抵御混合攻擊，適合于10個以內(nèi)人員的遠程辦公和小公司的使用。

對與遠程辦公室、零售店面、遠程辦公和企業(yè)應用來說是非常理想的。

可以在基于網(wǎng)絡的病毒、Web和郵件的內(nèi)容過濾、VPN、防火墻、網(wǎng)絡入侵與防護、流量整形等方面，立體構成網(wǎng)絡防御體系。

FortiGate-60/60M 支持雙WAN接入，實現(xiàn)冗余 7 10/100 ,并發(fā)50000新建2000，70M/20,50VPN

的Internet連接。FortiGate-60M還支持模擬modem，實現(xiàn)線路的備份。

采用了硬件加速、基于ASIC加速，實現(xiàn)極高的性能和穩(wěn)定性

對于需要防火墻、防病毒、VPN和入侵檢測與防御等多種安全的功能的企業(yè)來說是非常理想。

FortiGate-60 ADSL 7 10/100 ,并發(fā)50000新建2000，70M/20,50VPN

FortiGate-60 ADSL 集成了ADSL modem。它支持多種ADSL標準，包括ANSI T1.413 issue 2, ITU G.dmt and ITU G.lite, 以及Annex A。

在外地辦公室和遠程辦公通過ADSL連接到總部這種環(huán)境下，該產(chǎn)品提供了一個完整的安全解決方案

所集成的4個交換接口減少了額外的交換機和HUB的需求，節(jié)省了資源和管理成本

FortiWifi-60 是第一款為無線環(huán)境提供一體化安全解決方案的產(chǎn)品，它是中小企業(yè)、零售連鎖店、遠程辦公的最佳選擇。

支持802.11a/b/g無線和有線接入，這樣可以對無線和有線接入都部署防病毒、防火墻、VPN、內(nèi)容過濾、入侵檢測與阻斷等網(wǎng)絡安全服務

對WLAN可以實現(xiàn)IPSEC加密VPN和WEP，實現(xiàn)了無線接入的安全體系

FortiWifi-60AM 集成了一個模擬Modem，用作線路備份

FortiGate-100A 8 10/100 ,并發(fā)200000新建4000,100M/40,80VPN

FortiGate-100A 是小公司的理想的選擇。支持雙WAN連接，可以實現(xiàn)Internet接入冗余，集成的4個交換接口，可以替代一個交換機或HUB。

雙 DMZ接口，方便服務器的部署

雙WAN接口實現(xiàn)了多ISP的冗余、負載均衡

FortiGate-200A 8 10/100 ,并發(fā)400000新建4000,150M/70,200VPN

FortiGate-200A 適用于中小型企業(yè)。FortiGate-200A支持雙WAN連接，可以實現(xiàn)冗余的Internet接入，集成的4個交換接口，可以替代一個交換機或HUB。

中小型企業(yè)和組織的高性能的、實時的解決方案

四個可路由的10/100接口和4個內(nèi)部交換接口

FortiGate-224B 是Fortinet將立體多層安全防護與網(wǎng)絡登陸集成在一起的首款產(chǎn)品。FortiGate-224B實現(xiàn)的端口級別的訪問控制，是將2層交換設備與傳統(tǒng)的FortiOS技術集成在一起的產(chǎn)品。它是全面的有效的局域網(wǎng)的安全解決方案。

將網(wǎng)絡安全策略部署于接口級別上，強化了網(wǎng)絡安全體系。FortiGate-224B是針對入侵攻擊、病毒、蠕蟲、拒絕服務攻擊、間諜軟件。

把安全體系與網(wǎng)絡交換功能整合在一起，降低了部署的復雜性。

自動地響應和自我修復性隔離，降低了網(wǎng)絡管理的運行成本。

FortiGate-300A 4 10/100.2 G ,并發(fā)400000新建10000,400M/120,1500VPN

FortiGate-300A 病毒防火墻的性能、靈活性和安全足以滿足中小規(guī)模的網(wǎng)絡的需求。FortiGate-300A平臺具有兩個10/100/1000 三速以太網(wǎng)接口，適合于千兆網(wǎng)絡和要升級到千兆網(wǎng)絡的環(huán)境。

和市場上其它產(chǎn)品來比，其性能、價格、功能都值得稱道

有兩個千兆接口和四個用戶可定義的10/100接口

Fortinet的FortiGate安全防護系統(tǒng)是領先市場的產(chǎn)品，其整合了完整的功能、簡易的操作、經(jīng)濟的價格與高性能的表現(xiàn)。通過防火墻的安全防護，F(xiàn)ortiGate系統(tǒng)得以迅速地識別與防御各種攻擊，例如SoBig與Netsky等。此外Fortinet的產(chǎn)品極具擴充性，可依不同規(guī)模的網(wǎng)絡作選擇，其中的安全功能包括了狀態(tài)檢測防火墻、VPN、防病毒、IPS、Web過濾、反垃圾郵件與流量控制等。Fortinet的FortiManager與FortiAnalyzer提供集中管理系統(tǒng)，可同時管理上千臺FortiGate系統(tǒng)，并且可以產(chǎn)生報表供內(nèi)部審計與事件關聯(lián)性對比。

Fortinet的防火墻特點如下:

采用ASIC加速硬件與專用安全操作系統(tǒng)

提供應用層的安全

虛擬安全域(Virtual security domains)與安全區(qū)域(security zones)

高可用性

安全區(qū)域(security zones)與基于策略的(policy-based)設定

VoIP 網(wǎng)關

動態(tài)路由協(xié)議(Dynamic routing protocols): RIP, OSPF, BGP

詳細的記錄與報表

產(chǎn)品型號 產(chǎn)品描述

FG-50B 3 口(10/100)以太網(wǎng)口、2 口WAN口、 50Mbps吞吐量、25000個并發(fā)會話數(shù)、20個VPN通道數(shù)、500條策略數(shù)、支持內(nèi)容過濾、入侵檢測、病毒蠕蟲掃描。

FG-60U 7口(10/100)以太網(wǎng)口、 70Mbps吞吐量、50000個并發(fā)會話數(shù)、40個VPN通道數(shù)、500條策略數(shù)、支持內(nèi)容過濾、入侵檢測、病毒蠕蟲掃描。雙網(wǎng)口可做負載平衡。

FG-100A 2個WAN口,2個DMZ口,4口(10/100)以太網(wǎng)口、100Mbps吞吐量、200K個并發(fā)會話數(shù)、80個VPN通道數(shù)、1000條策略數(shù)、支持內(nèi)容過濾、入侵檢測、病毒蠕蟲掃描。雙網(wǎng)口可做負載平衡。

FG-200A 2個WAN口,2個DMZ口,4口(10/100)以太網(wǎng)口、 150Mbps吞吐量、400K個并發(fā)會話數(shù)、100個VPN通道數(shù)、2000條策略數(shù)、支持內(nèi)容過濾、入侵檢測、病毒蠕蟲掃描。雙網(wǎng)口可做負載平衡。

FG-300A 4口(10/100)以太網(wǎng)口、2個1000M以太網(wǎng)口, 400Mbps吞吐量、400K個并發(fā)會話數(shù)、1500個VPN通道數(shù)、5000條策略數(shù)、支持內(nèi)容過濾、入侵檢測、病毒蠕蟲掃描。支持VLAN、流量控制、內(nèi)嵌日志

FG-400A 4口(10/100)以太網(wǎng)口、2個1000M以太網(wǎng)口，400Mbps吞吐量、400K個并發(fā)會話數(shù)、2000個VPN通道數(shù)、5000條策略數(shù)、支持內(nèi)容過濾、入侵檢測、病毒蠕蟲掃描。支持VLAN、流量控制、高可用的冗余備份、內(nèi)嵌日志

FG-500A 8口(10/100)以太網(wǎng)口、2個1000M以太網(wǎng)口，500Mbps吞吐量、400K個并發(fā)會話數(shù)、2000個VPN通道數(shù)、5000條策略數(shù)、支持內(nèi)容過濾、入侵檢測、病毒蠕蟲掃描。支持VLAN、流量控制、高可用的冗余備份、內(nèi)嵌日志

FG-800 4口(10/100/1000)以太網(wǎng)口、4個(10/100)用戶可定義端口、 600Mbps吞吐量、400000個并發(fā)會話數(shù)、2000個VPN通道數(shù)、20000條策略數(shù)、支持內(nèi)容過濾、入侵檢測、病毒蠕蟲掃描。支持VLAN、流量控制、高可用的冗余備份、內(nèi)嵌日志、20G硬盤

FG-800F 4口1000M以太網(wǎng)口、4個1000光纖口、1Gbps吞吐量、400K個并發(fā)會話數(shù)、3000個VPN通道數(shù)、200M吞吐量、支持內(nèi)容過濾、入侵檢測、病毒蠕蟲掃描。內(nèi)嵌日志、

FG-1000 4口(10/100)以太網(wǎng)口、2個1000base-T口、 1Gbps吞吐量、600000個并發(fā)會話數(shù)、3000個VPN通道數(shù)、30000條策略數(shù)、支持內(nèi)容過濾、入侵檢測、病毒蠕蟲掃描。支持VLAN、流量控制、高可用的冗余備份、內(nèi)嵌日志、20G硬盤

FG-1000A 4個10/100M端口,2個1000M端口,每秒連接數(shù)600000新建連接數(shù),并發(fā)連接數(shù)15000并發(fā)連接數(shù)

FG-3000 3口(10/100)以太網(wǎng)口、2個1000base-SX口、1個1000base-T口、 2.25Gbps吞吐量、975000個并發(fā)會話數(shù)、5000個VPN通道數(shù)、50000條策略數(shù)、支持內(nèi)容過濾、入侵檢測、病毒蠕蟲掃描。內(nèi)嵌日志、20G硬盤

FG-3600 1口(10/100)以太網(wǎng)口、4個1000base-SX口、2個1000base-T口、 4Gbps吞吐量、1M個并發(fā)會話數(shù)、5000個VPN通道數(shù)、50000條策略數(shù)、支持內(nèi)容過濾、入侵檢測、病毒蠕蟲掃描。內(nèi)嵌日志、20G硬盤

公司總部設在美國加州Sunnyvale，在北美、歐洲、亞洲地區(qū)都設有客戶支持、開發(fā)和銷售辦公室， 以支持客戶持續(xù)不斷的成功。Fortinet通過世界各地的渠道合作伙伴網(wǎng)絡來銷售產(chǎn)品系統(tǒng)和預訂服務。

FortiGate-500 病毒防火墻是多個區(qū)域的安全解決方案。本系統(tǒng)可以將企業(yè)的網(wǎng)絡劃分成不同的獨立區(qū)域，在每個區(qū)域內(nèi)都可以定義所屬的安全策略。FortiGate-500 病毒防火墻具有12個可定義的網(wǎng)絡接口，1U高，實現(xiàn)比其它系統(tǒng)更為經(jīng)濟、高密度、低成本的安全解決方案。

本系統(tǒng)有12個10/100M以太網(wǎng)接口，和多個安全區(qū)的功能，部署最為靈活。

本系統(tǒng)能夠?qū)崿F(xiàn)屢獲殊榮的各個網(wǎng)絡安全功能，包括網(wǎng)絡病毒防護、防火墻、VPN和入侵檢測/阻斷等。

FortiGate-500A 并發(fā)會話數(shù)400000新建會話數(shù)10000,處理能力600M/3DES處理能力150M,3000個VPN通道

FortiGate-500A 病毒防火墻為日益擴大的企業(yè)用戶提供了高性能、高安全、富有彈性的安全防護體系。FortiGate-500A系統(tǒng)平臺具有兩個 10/100/1000通訊接口，為企業(yè)擴展到千兆環(huán)境提供了便利。并提供 4個用戶可以定義的 10/100通訊接口，支持冗余的WAN接口，高可用性和多個安全區(qū)域等等。網(wǎng)絡管理員可以針對所屬的區(qū)域制定完善的安全策略和網(wǎng)絡流量控制。此外，本系統(tǒng)還有4個交換接口，方便用戶使用。

特別適合企業(yè)級的網(wǎng)絡架構，提供高速的傳輸率，高性能和低成本的安全解決方案。

具有6個10/100M的網(wǎng)絡接口和4個10/100M交換接口，滿足未來靈活部署的需要。

FortiGate-800 并發(fā)400000新建10000,1000M/200,3000VPN

FortiGate-800 病毒防火墻為大型企業(yè)提供了高性能、高安全性、靈活的網(wǎng)絡安全系統(tǒng)。FortiGate-800可作為高效率的病毒和內(nèi)容過濾的網(wǎng)關;或者作為企業(yè)網(wǎng)絡的防火墻，實現(xiàn)所屬網(wǎng)絡的完全內(nèi)容防護，包括入侵檢測/防御和vpn 等功能。FortiGate-800系統(tǒng)具有四個10/100/1000網(wǎng)絡接口，4個用戶定義的10/100接口，實現(xiàn)細粒度的多區(qū)域的安全，網(wǎng)絡管理員可以把他的網(wǎng)絡劃分為多個區(qū)域，在區(qū)域之間創(chuàng)建策略。

具有4個10/100/1000 以太網(wǎng)絡接口，為企業(yè)升級到千兆網(wǎng)絡提供了便利。

是大型企業(yè)的理想解決方案，實現(xiàn)性能高、部署靈活、可細粒度控制網(wǎng)絡流量等特點。

FortiGate-1000A 病毒防火墻是一個能夠達到千兆吞吐量的高性能解決方案，

可以滿足大型企業(yè)對可靠性的需求?？蛇x的FortiGate-1000AFA2裝備有采用

了FortiAccel技術的2個接口，可以大幅度提高小包的處理能力。FortiGate-1

000A產(chǎn)品可以很容易部署于現(xiàn)有網(wǎng)絡，可以作為病毒和內(nèi)容層的過濾，也可

以作為一個全面的解決方案。對HA的支持和熱插拔電源，確保了關鍵業(yè)務的

不間斷運行。

FGT-1000A 有10個10/100/1000M 的三速Base-T接口

FGT-1000AFA2 有10個三速接口和2個可拔插的小包線速接口，是VoIP用

戶的理想選擇。

防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。

在具體應用防火墻技術時，還要考慮到兩個方面:

一是防火墻是不能防病毒的，盡管有不少的防火墻產(chǎn)品聲稱其具有這個功能。 二是防火墻技術的另外一個弱點在于數(shù)據(jù)在防火墻之間的更新是一個難題，如果延遲太大將無法支持實時服務請求。并且，防火墻采用濾波技術，濾波通常使網(wǎng)絡的性能降低50%以上，如果為了改善網(wǎng)絡性能而購置高速路由器，又會大大提高經(jīng)濟預算。

總之，防火墻是企業(yè)網(wǎng)安全問題的流行方案，即把公共數(shù)據(jù)和服務置于防火墻外，使其對防火墻內(nèi)部資源的訪問受到限制。作為一種網(wǎng)絡安全技術，防火墻具有簡單實用的特點，并且透明度高，可以在不修改原有網(wǎng)絡應用系統(tǒng)的情況下達到一定的安全要求。

(1)設置網(wǎng)卡IP地址為192.168.1.234，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關為192.168.1.1。

(2)設置DNS為61.177.7.1。

(3)Linux防火墻設置，禁用SELinux，啟用防火墻，信任WWW、FTP、SSH、SMTP端口。

(4)設置防火墻，使能信任TCP協(xié)議的POP3端口。

從實現(xiàn)原理上分，防火墻的技術包括四大類:網(wǎng)絡級防火墻(也叫包過濾型防火墻)、應用級網(wǎng)關、電路級網(wǎng)關和規(guī)則檢查防火墻。它們之間各有所長，具體使用哪一種或是否混合使用，要看具體需要。

一般是基于源地址和目的地址、應用、協(xié)議以及每個IP包的端口來作出通過與否的判斷。一個路由器便是一個"傳統(tǒng)"的網(wǎng)絡級防火墻，大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉(zhuǎn)發(fā)，但它不能判斷出一個IP包來自何方，去向何處。防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合，防火墻就會使用默認規(guī)則，一般情況下，默認規(guī)則就是要求防火墻丟棄該包。其次，通 過定義基于TCP或UDP數(shù)據(jù)包的端口號，防火墻能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。

應用級網(wǎng)關能夠檢查進出的數(shù)據(jù)包，通過網(wǎng)關復制傳遞數(shù)據(jù)，防止在受信任服務器和客戶機與不受信任的主機間直接建立聯(lián)系。應用級網(wǎng)關能夠理解應用層上的協(xié)議，能夠做復雜一些的訪問控制，并做精細的注冊和稽核。它針對特別的網(wǎng)絡應用服務協(xié)議即數(shù)據(jù)過濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關的報告。應用網(wǎng)關對某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴格的控制，以防有價值的程序和數(shù)據(jù)被竊取。 在實際工作中，應用網(wǎng)關一般由專用工作站系統(tǒng)來完成。但每一種協(xié)議需要相應的代理軟件，使用時工作量大，效率不如網(wǎng)絡級防火墻。 應用級網(wǎng)關有較好的訪問控制，是目前最安全的防火墻技術，但實現(xiàn)困難，而且有的應用級網(wǎng)關缺乏"透明度"。在實際使用中，用戶在受信任的網(wǎng)絡上通過防火墻訪問Internet時，經(jīng)常會發(fā)現(xiàn)存在延遲并且必須進行多次登錄(Login)才能訪問Internet或Intranet。

電路級網(wǎng)關用來監(jiān)控受信任的客戶或服務器與不受信任的主機間的TCP握手信息,這樣來決定該會話(Session)是否合法,電路級網(wǎng)關是在OSI模型中會話層上來過濾數(shù)據(jù)包,這樣比包過濾防火墻要高二層。電路級網(wǎng)關還提供一個重要的安全功能:代理服務器(Proxy Server)。代理服務器是設置在Internet防火墻網(wǎng)關的專用應用級代碼。這種代理服務準許網(wǎng)管員允許或拒絕特定的應用程序或一個應用的特定功能。包過濾技術和應用網(wǎng)關是通過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)包通過，一旦判斷條件滿足，防火墻內(nèi)部網(wǎng) 絡的結構和運行狀態(tài)便"暴露"在外來用戶面前，這就引入了代理服務的概念，即防火墻內(nèi)外計算機系統(tǒng)應用層的"鏈接"由兩個終止于代理服務的"鏈接"來實現(xiàn)，這就成功地實現(xiàn)了防火墻內(nèi)外計算機系統(tǒng)的隔離。同時，代理服務還可用于實施較強的數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等功能。代理服務技術主要通過專用計算機硬件(如工作站)來承擔。

該防火墻結合了包過濾防火墻、電路級網(wǎng)關和應用級網(wǎng)關的特點。它同包過濾防火墻一樣，規(guī)則檢查防火墻能夠在OSI網(wǎng)絡層上通過IP地址和端口號，過濾進出的數(shù)據(jù)包。它也象電路級網(wǎng)關一樣，能夠檢查SYN和ACK標記和序列數(shù)字是否邏輯有序。當然它也象應用級網(wǎng)關一樣，可以在OSI應用層上檢查數(shù)據(jù)包的內(nèi)容，查看這些內(nèi)容是否能符合企業(yè)網(wǎng)絡的安全規(guī)則。規(guī)則檢查防火墻雖然集成前三者的特點，但是不同于一個應用級網(wǎng) 關的是，它并不打破客戶機/服務器模式來分析應用層的數(shù)據(jù)，它允許受信任的客戶機和不受信任的主機建立直接連接。規(guī)則檢查防火墻不依靠與應用層有關的代理，而是依靠某種算法來識別進出的應用層數(shù)據(jù)，這些算法通過已知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包，這樣從理論上就能比應用級代理在過濾數(shù)據(jù)包上更有效。