飛塔防火墻總部位置

公司總部設(shè)在美國加州Sunnyvale，在北美、歐洲、亞洲地區(qū)都設(shè)有客戶支持、開發(fā)和銷售辦公室， 以支持客戶持續(xù)不斷的成功。Fortinet通過世界各地的渠道合作伙伴網(wǎng)絡(luò)來銷售產(chǎn)品系統(tǒng)和預(yù)訂服務(wù)。

Fortinet由Ken Xie(謝青)在2000年創(chuàng)建，Ken Xie曾經(jīng)是NetScreen公司(后為Juniper公司以35 億多美元并購)有遠(yuǎn)見的創(chuàng)始人、總裁和CEO。 Fortinet由一支強(qiáng)大的、在網(wǎng)絡(luò)和安全領(lǐng)域富有豐富經(jīng)驗(yàn)的管理團(tuán)隊(duì)領(lǐng)導(dǎo)。 處于領(lǐng)先地位的Fortinet，作為一家私有網(wǎng)絡(luò)安全公司得到工業(yè)界資深的風(fēng)險(xiǎn)基金投資超過一億美元。

中小型企業(yè)系列產(chǎn)品/適合于家庭辦公室和中小企業(yè)的 FortiGate; 安全平臺

FortiGate–50B、60系列、100A、200A 和 300A 病毒防火墻是功能強(qiáng)大，多

合一的網(wǎng)絡(luò)安全解決方案。本系列的產(chǎn)品適合于小型辦公室、家庭辦公室、

中小企業(yè)、分公司辦公室等等客戶。產(chǎn)品管理界面簡單易操作，為客戶降

低了使用成本和超額的價(jià)值。 本產(chǎn)品具有多種安全功能 – 包括防病毒、防

火墻、VPN、入侵檢測/防御、內(nèi)容過濾和流量控制等。現(xiàn)在我們的企業(yè)客戶

能夠在不降低網(wǎng)絡(luò)性能和不增加成本的基礎(chǔ)上，享受網(wǎng)絡(luò)安全服務(wù)。 FortiG

ate的安裝向?qū)Э梢詭椭蛻艚?jīng)過簡單的幾步，幾分鐘內(nèi)就可以完成安裝和運(yùn)

轉(zhuǎn)。設(shè)備的吞吐量從30Mbps到200Mbps。FortiGate-50B、60 系列、100A、

200A 和 300A 能夠保護(hù)企業(yè)的網(wǎng)絡(luò)，使其免受網(wǎng)絡(luò)的攻擊與威脅。

FortiGate-50B 5 10/100 ,并發(fā)25000新建2000，50M/48,20VPN

FortiGate-50B 可以滿足小型辦公室/家庭辦公(SOHO)應(yīng)用需求。安裝向?qū)沟冒惭b部署簡便易行，幾分鐘內(nèi)就可以讓FortiGate-50B運(yùn)行起來。FortiGate-50B 功能全面，可以抵御混合攻擊，適合于10個以內(nèi)人員的遠(yuǎn)程辦公和小公司的使用。

對與遠(yuǎn)程辦公室、零售店面、遠(yuǎn)程辦公和企業(yè)應(yīng)用來說是非常理想的。

可以在基于網(wǎng)絡(luò)的病毒、Web和郵件的內(nèi)容過濾、VPN、防火墻、網(wǎng)絡(luò)入侵與防護(hù)、流量整形等方面，立體構(gòu)成網(wǎng)絡(luò)防御體系。

FortiGate-60/60M 支持雙WAN接入，實(shí)現(xiàn)冗余 7 10/100 ,并發(fā)50000新建2000，70M/20,50VPN

的Internet連接。FortiGate-60M還支持模擬modem，實(shí)現(xiàn)線路的備份。

采用了硬件加速、基于ASIC加速，實(shí)現(xiàn)極高的性能和穩(wěn)定性

對于需要防火墻、防病毒、VPN和入侵檢測與防御等多種安全的功能的企業(yè)來說是非常理想。

FortiGate-60 ADSL 7 10/100 ,并發(fā)50000新建2000，70M/20,50VPN

FortiGate-60 ADSL 集成了ADSL modem。它支持多種ADSL標(biāo)準(zhǔn)，包括ANSI T1.413 issue 2, ITU G.dmt and ITU G.lite, 以及Annex A。

在外地辦公室和遠(yuǎn)程辦公通過ADSL連接到總部這種環(huán)境下，該產(chǎn)品提供了一個完整的安全解決方案

所集成的4個交換接口減少了額外的交換機(jī)和HUB的需求，節(jié)省了資源和管理成本

FortiWifi-60 是第一款為無線環(huán)境提供一體化安全解決方案的產(chǎn)品，它是中小企業(yè)、零售連鎖店、遠(yuǎn)程辦公的最佳選擇。

支持802.11a/b/g無線和有線接入，這樣可以對無線和有線接入都部署防病毒、防火墻、VPN、內(nèi)容過濾、入侵檢測與阻斷等網(wǎng)絡(luò)安全服務(wù)

對WLAN可以實(shí)現(xiàn)IPSEC加密VPN和WEP，實(shí)現(xiàn)了無線接入的安全體系

FortiWifi-60AM 集成了一個模擬Modem，用作線路備份

FortiGate-100A 8 10/100 ,并發(fā)200000新建4000,100M/40,80VPN

FortiGate-100A 是小公司的理想的選擇。支持雙WAN連接，可以實(shí)現(xiàn)Internet接入冗余，集成的4個交換接口，可以替代一個交換機(jī)或HUB。

雙 DMZ接口，方便服務(wù)器的部署

雙WAN接口實(shí)現(xiàn)了多ISP的冗余、負(fù)載均衡

FortiGate-200A 8 10/100 ,并發(fā)400000新建4000,150M/70,200VPN

FortiGate-200A 適用于中小型企業(yè)。FortiGate-200A支持雙WAN連接，可以實(shí)現(xiàn)冗余的Internet接入，集成的4個交換接口，可以替代一個交換機(jī)或HUB。

中小型企業(yè)和組織的高性能的、實(shí)時(shí)的解決方案

四個可路由的10/100接口和4個內(nèi)部交換接口

FortiGate-224B 是Fortinet將立體多層安全防護(hù)與網(wǎng)絡(luò)登陸集成在一起的首款產(chǎn)品。FortiGate-224B實(shí)現(xiàn)的端口級別的訪問控制，是將2層交換設(shè)備與傳統(tǒng)的FortiOS技術(shù)集成在一起的產(chǎn)品。它是全面的有效的局域網(wǎng)的安全解決方案。

將網(wǎng)絡(luò)安全策略部署于接口級別上，強(qiáng)化了網(wǎng)絡(luò)安全體系。FortiGate-224B是針對入侵攻擊、病毒、蠕蟲、拒絕服務(wù)攻擊、間諜軟件。

把安全體系與網(wǎng)絡(luò)交換功能整合在一起，降低了部署的復(fù)雜性。

自動地響應(yīng)和自我修復(fù)性隔離，降低了網(wǎng)絡(luò)管理的運(yùn)行成本。

FortiGate-300A 4 10/100.2 G ,并發(fā)400000新建10000,400M/120,1500VPN

FortiGate-300A 病毒防火墻的性能、靈活性和安全足以滿足中小規(guī)模的網(wǎng)絡(luò)的需求。FortiGate-300A平臺具有兩個10/100/1000 三速以太網(wǎng)接口，適合于千兆網(wǎng)絡(luò)和要升級到千兆網(wǎng)絡(luò)的環(huán)境。

和市場上其它產(chǎn)品來比，其性能、價(jià)格、功能都值得稱道

有兩個千兆接口和四個用戶可定義的10/100接口

FortiGate; 企業(yè)級系列產(chǎn)品包括 FortiGate-400、400A、500、500A和800，能夠滿足普通企業(yè)的對性能、可用性和可靠性的需求。它們和其他型號產(chǎn)品一樣具有所有主要功能，比如集成的防病毒、防火墻、VPN、IPS和流量整形等功能。企業(yè)級產(chǎn)品的吞吐量最大可以達(dá)到1Gbps，具有高可用性(會話級別切換)，多個安全區(qū)等功能，因此說它們是企業(yè)的關(guān)鍵應(yīng)用的最佳選擇。

FortiGate-400 并發(fā)會話數(shù)400000，新建會話數(shù)10000,處理能力500M，3DES處理能力140M,1500個VPN通道

2 GE and 4 10/100 以太接口

FortiGate-400 病毒防火墻為企業(yè)級的網(wǎng)絡(luò)安全設(shè)備。能夠即時(shí)監(jiān)測病毒與蠕蟲、過濾網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)容，并提供高效能之防火墻、VPN、和流量監(jiān)控等功能。FortiGate-400病毒防火墻具備所謂的高可用性(HA)和故障恢復(fù)功能，完全可以滿足企業(yè)的關(guān)鍵業(yè)務(wù)的安全需求。

本產(chǎn)品為中型企業(yè)提供全方位的網(wǎng)絡(luò)防護(hù)的最佳解決方案。

多重安全區(qū)的管理可以實(shí)現(xiàn)完了國分段的功能，網(wǎng)絡(luò)管理者可以針對所屬安全區(qū)的子網(wǎng)絡(luò)制定完善的安全策略和網(wǎng)絡(luò)流量控制。

FortiGate-400A 病毒防火墻為日益擴(kuò)大的企業(yè)用戶提供了高性能、高安全的，部署靈活的安全防護(hù)體系。FortiGate-400A的系統(tǒng)平臺具有2個10/100/1000通訊接口，為擴(kuò)展到千兆環(huán)境預(yù)留了空間，4個可用戶定義的10/100通訊接口，可以實(shí)現(xiàn)冗余的WAN接入。本系統(tǒng)具有高可用性與多個安全區(qū)管理的功能，網(wǎng)絡(luò)管理者可以針對所屬的區(qū)域定制完善的安全策略和網(wǎng)絡(luò)流量控制。

本產(chǎn)品具有2個千兆以太網(wǎng)接口和4個可用戶定義的10/100個接口，可以滿足中型企業(yè)的擴(kuò)展性要求。

可以作為高性能的病毒和內(nèi)容過濾的網(wǎng)關(guān);或者作為企業(yè)網(wǎng)絡(luò)的防火墻，提供所屬的網(wǎng)絡(luò)的全面的內(nèi)容防護(hù)功能，其包括入侵檢測和防御與vpn等功能。

FortiGate-500 病毒防火墻是多個區(qū)域的安全解決方案。本系統(tǒng)可以將企業(yè)的網(wǎng)絡(luò)劃分成不同的獨(dú)立區(qū)域，在每個區(qū)域內(nèi)都可以定義所屬的安全策略。FortiGate-500 病毒防火墻具有12個可定義的網(wǎng)絡(luò)接口，1U高，實(shí)現(xiàn)比其它系統(tǒng)更為經(jīng)濟(jì)、高密度、低成本的安全解決方案。

本系統(tǒng)有12個10/100M以太網(wǎng)接口，和多個安全區(qū)的功能，部署最為靈活。

本系統(tǒng)能夠?qū)崿F(xiàn)屢獲殊榮的各個網(wǎng)絡(luò)安全功能，包括網(wǎng)絡(luò)病毒防護(hù)、防火墻、VPN和入侵檢測/阻斷等。

FortiGate-500A 并發(fā)會話數(shù)400000新建會話數(shù)10000,處理能力600M/3DES處理能力150M,3000個VPN通道

FortiGate-500A 病毒防火墻為日益擴(kuò)大的企業(yè)用戶提供了高性能、高安全、富有彈性的安全防護(hù)體系。FortiGate-500A系統(tǒng)平臺具有兩個 10/100/1000通訊接口，為企業(yè)擴(kuò)展到千兆環(huán)境提供了便利。并提供 4個用戶可以定義的 10/100通訊接口，支持冗余的WAN接口，高可用性和多個安全區(qū)域等等。網(wǎng)絡(luò)管理員可以針對所屬的區(qū)域制定完善的安全策略和網(wǎng)絡(luò)流量控制。此外，本系統(tǒng)還有4個交換接口，方便用戶使用。

特別適合企業(yè)級的網(wǎng)絡(luò)架構(gòu)，提供高速的傳輸率，高性能和低成本的安全解決方案。

具有6個10/100M的網(wǎng)絡(luò)接口和4個10/100M交換接口，滿足未來靈活部署的需要。

FortiGate-800 并發(fā)400000新建10000,1000M/200,3000VPN

FortiGate-800 病毒防火墻為大型企業(yè)提供了高性能、高安全性、靈活的網(wǎng)絡(luò)安全系統(tǒng)。FortiGate-800可作為高效率的病毒和內(nèi)容過濾的網(wǎng)關(guān);或者作為企業(yè)網(wǎng)絡(luò)的防火墻，實(shí)現(xiàn)所屬網(wǎng)絡(luò)的完全內(nèi)容防護(hù)，包括入侵檢測/防御和vpn 等功能。FortiGate-800系統(tǒng)具有四個10/100/1000網(wǎng)絡(luò)接口，4個用戶定義的10/100接口，實(shí)現(xiàn)細(xì)粒度的多區(qū)域的安全，網(wǎng)絡(luò)管理員可以把他的網(wǎng)絡(luò)劃分為多個區(qū)域，在區(qū)域之間創(chuàng)建策略。

具有4個10/100/1000 以太網(wǎng)絡(luò)接口，為企業(yè)升級到千兆網(wǎng)絡(luò)提供了便利。

是大型企業(yè)的理想解決方案，實(shí)現(xiàn)性能高、部署靈活、可細(xì)粒度控制網(wǎng)絡(luò)流量等特點(diǎn)。

FortiGate-1000A 病毒防火墻是一個能夠達(dá)到千兆吞吐量的高性能解決方案，

可以滿足大型企業(yè)對可靠性的需求?？蛇x的FortiGate-1000AFA2裝備有采用

了FortiAccel技術(shù)的2個接口，可以大幅度提高小包的處理能力。FortiGate-1

000A產(chǎn)品可以很容易部署于現(xiàn)有網(wǎng)絡(luò)，可以作為病毒和內(nèi)容層的過濾，也可

以作為一個全面的解決方案。對HA的支持和熱插拔電源，確保了關(guān)鍵業(yè)務(wù)的

不間斷運(yùn)行。

FGT-1000A 有10個10/100/1000M 的三速Base-T接口

FGT-1000AFA2 有10個三速接口和2個可拔插的小包線速接口，是VoIP用

戶的理想選擇。

產(chǎn)品型號 產(chǎn)品描述

FG-50B 3 口(10/100)以太網(wǎng)口、2 口WAN口、 50Mbps吞吐量、25000個并發(fā)會話數(shù)、20個VPN通道數(shù)、500條策略數(shù)、支持內(nèi)容過濾、入侵檢測、病毒蠕蟲掃描。

FG-60U 7口(10/100)以太網(wǎng)口、 70Mbps吞吐量、50000個并發(fā)會話數(shù)、40個VPN通道數(shù)、500條策略數(shù)、支持內(nèi)容過濾、入侵檢測、病毒蠕蟲掃描。雙網(wǎng)口可做負(fù)載平衡。

FG-100A 2個WAN口,2個DMZ口,4口(10/100)以太網(wǎng)口、100Mbps吞吐量、200K個并發(fā)會話數(shù)、80個VPN通道數(shù)、1000條策略數(shù)、支持內(nèi)容過濾、入侵檢測、病毒蠕蟲掃描。雙網(wǎng)口可做負(fù)載平衡。

FG-200A 2個WAN口,2個DMZ口,4口(10/100)以太網(wǎng)口、 150Mbps吞吐量、400K個并發(fā)會話數(shù)、100個VPN通道數(shù)、2000條策略數(shù)、支持內(nèi)容過濾、入侵檢測、病毒蠕蟲掃描。雙網(wǎng)口可做負(fù)載平衡。

FG-300A 4口(10/100)以太網(wǎng)口、2個1000M以太網(wǎng)口, 400Mbps吞吐量、400K個并發(fā)會話數(shù)、1500個VPN通道數(shù)、5000條策略數(shù)、支持內(nèi)容過濾、入侵檢測、病毒蠕蟲掃描。支持VLAN、流量控制、內(nèi)嵌日志

FG-400A 4口(10/100)以太網(wǎng)口、2個1000M以太網(wǎng)口，400Mbps吞吐量、400K個并發(fā)會話數(shù)、2000個VPN通道數(shù)、5000條策略數(shù)、支持內(nèi)容過濾、入侵檢測、病毒蠕蟲掃描。支持VLAN、流量控制、高可用的冗余備份、內(nèi)嵌日志

FG-500A 8口(10/100)以太網(wǎng)口、2個1000M以太網(wǎng)口，500Mbps吞吐量、400K個并發(fā)會話數(shù)、2000個VPN通道數(shù)、5000條策略數(shù)、支持內(nèi)容過濾、入侵檢測、病毒蠕蟲掃描。支持VLAN、流量控制、高可用的冗余備份、內(nèi)嵌日志

FG-800 4口(10/100/1000)以太網(wǎng)口、4個(10/100)用戶可定義端口、 600Mbps吞吐量、400000個并發(fā)會話數(shù)、2000個VPN通道數(shù)、20000條策略數(shù)、支持內(nèi)容過濾、入侵檢測、病毒蠕蟲掃描。支持VLAN、流量控制、高可用的冗余備份、內(nèi)嵌日志、20G硬盤

FG-800F 4口1000M以太網(wǎng)口、4個1000光纖口、1Gbps吞吐量、400K個并發(fā)會話數(shù)、3000個VPN通道數(shù)、200M吞吐量、支持內(nèi)容過濾、入侵檢測、病毒蠕蟲掃描。內(nèi)嵌日志、

FG-1000 4口(10/100)以太網(wǎng)口、2個1000base-T口、 1Gbps吞吐量、600000個并發(fā)會話數(shù)、3000個VPN通道數(shù)、30000條策略數(shù)、支持內(nèi)容過濾、入侵檢測、病毒蠕蟲掃描。支持VLAN、流量控制、高可用的冗余備份、內(nèi)嵌日志、20G硬盤

FG-1000A 4個10/100M端口,2個1000M端口,每秒連接數(shù)600000新建連接數(shù),并發(fā)連接數(shù)15000并發(fā)連接數(shù)

FG-3000 3口(10/100)以太網(wǎng)口、2個1000base-SX口、1個1000base-T口、 2.25Gbps吞吐量、975000個并發(fā)會話數(shù)、5000個VPN通道數(shù)、50000條策略數(shù)、支持內(nèi)容過濾、入侵檢測、病毒蠕蟲掃描。內(nèi)嵌日志、20G硬盤

FG-3600 1口(10/100)以太網(wǎng)口、4個1000base-SX口、2個1000base-T口、 4Gbps吞吐量、1M個并發(fā)會話數(shù)、5000個VPN通道數(shù)、50000條策略數(shù)、支持內(nèi)容過濾、入侵檢測、病毒蠕蟲掃描。內(nèi)嵌日志、20G硬盤

Fortinet的FortiGate安全防護(hù)系統(tǒng)是領(lǐng)先市場的產(chǎn)品，其整合了完整的功能、簡易的操作、經(jīng)濟(jì)的價(jià)格與高性能的表現(xiàn)。通過防火墻的安全防護(hù)，F(xiàn)ortiGate系統(tǒng)得以迅速地識別與防御各種攻擊，例如SoBig與Netsky等。此外Fortinet的產(chǎn)品極具擴(kuò)充性，可依不同規(guī)模的網(wǎng)絡(luò)作選擇，其中的安全功能包括了狀態(tài)檢測防火墻、VPN、防病毒、IPS、Web過濾、反垃圾郵件與流量控制等。Fortinet的FortiManager與FortiAnalyzer提供集中管理系統(tǒng)，可同時(shí)管理上千臺FortiGate系統(tǒng)，并且可以產(chǎn)生報(bào)表供內(nèi)部審計(jì)與事件關(guān)聯(lián)性對比。

Fortinet的防火墻特點(diǎn)如下:

采用ASIC加速硬件與專用安全操作系統(tǒng)

提供應(yīng)用層的安全

虛擬安全域(Virtual security domains)與安全區(qū)域(security zones)

高可用性

安全區(qū)域(security zones)與基于策略的(policy-based)設(shè)定

VoIP 網(wǎng)關(guān)

動態(tài)路由協(xié)議(Dynamic routing protocols): RIP, OSPF, BGP

詳細(xì)的記錄與報(bào)表

防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級別。高級別的保護(hù)可能會禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。

在具體應(yīng)用防火墻技術(shù)時(shí)，還要考慮到兩個方面:

一是防火墻是不能防病毒的，盡管有不少的防火墻產(chǎn)品聲稱其具有這個功能。 二是防火墻技術(shù)的另外一個弱點(diǎn)在于數(shù)據(jù)在防火墻之間的更新是一個難題，如果延遲太大將無法支持實(shí)時(shí)服務(wù)請求。并且，防火墻采用濾波技術(shù)，濾波通常使網(wǎng)絡(luò)的性能降低50%以上，如果為了改善網(wǎng)絡(luò)性能而購置高速路由器，又會大大提高經(jīng)濟(jì)預(yù)算。

總之，防火墻是企業(yè)網(wǎng)安全問題的流行方案，即把公共數(shù)據(jù)和服務(wù)置于防火墻外，使其對防火墻內(nèi)部資源的訪問受到限制。作為一種網(wǎng)絡(luò)安全技術(shù)，防火墻具有簡單實(shí)用的特點(diǎn)，并且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定的安全要求。

(1)設(shè)置網(wǎng)卡IP地址為192.168.1.234，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān)為192.168.1.1。

(2)設(shè)置DNS為61.177.7.1。

(3)Linux防火墻設(shè)置，禁用SELinux，啟用防火墻，信任WWW、FTP、SSH、SMTP端口。

(4)設(shè)置防火墻，使能信任TCP協(xié)議的POP3端口。

從實(shí)現(xiàn)原理上分，防火墻的技術(shù)包括四大類:網(wǎng)絡(luò)級防火墻(也叫包過濾型防火墻)、應(yīng)用級網(wǎng)關(guān)、電路級網(wǎng)關(guān)和規(guī)則檢查防火墻。它們之間各有所長，具體使用哪一種或是否混合使用，要看具體需要。

一般是基于源地址和目的地址、應(yīng)用、協(xié)議以及每個IP包的端口來作出通過與否的判斷。一個路由器便是一個"傳統(tǒng)"的網(wǎng)絡(luò)級防火墻，大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉(zhuǎn)發(fā)，但它不能判斷出一個IP包來自何方，去向何處。防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合，防火墻就會使用默認(rèn)規(guī)則，一般情況下，默認(rèn)規(guī)則就是要求防火墻丟棄該包。其次，通 過定義基于TCP或UDP數(shù)據(jù)包的端口號，防火墻能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。

應(yīng)用級網(wǎng)關(guān)能夠檢查進(jìn)出的數(shù)據(jù)包，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，能夠做復(fù)雜一些的訪問控制，并做精細(xì)的注冊和稽核。它針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。應(yīng)用網(wǎng)關(guān)對某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴(yán)格的控制，以防有價(jià)值的程序和數(shù)據(jù)被竊取。 在實(shí)際工作中，應(yīng)用網(wǎng)關(guān)一般由專用工作站系統(tǒng)來完成。但每一種協(xié)議需要相應(yīng)的代理軟件，使用時(shí)工作量大，效率不如網(wǎng)絡(luò)級防火墻。 應(yīng)用級網(wǎng)關(guān)有較好的訪問控制，是目前最安全的防火墻技術(shù)，但實(shí)現(xiàn)困難，而且有的應(yīng)用級網(wǎng)關(guān)缺乏"透明度"。在實(shí)際使用中，用戶在受信任的網(wǎng)絡(luò)上通過防火墻訪問Internet時(shí)，經(jīng)常會發(fā)現(xiàn)存在延遲并且必須進(jìn)行多次登錄(Login)才能訪問Internet或Intranet。

電路級網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息,這樣來決定該會話(Session)是否合法,電路級網(wǎng)關(guān)是在OSI模型中會話層上來過濾數(shù)據(jù)包,這樣比包過濾防火墻要高二層。電路級網(wǎng)關(guān)還提供一個重要的安全功能:代理服務(wù)器(Proxy Server)。代理服務(wù)器是設(shè)置在Internet防火墻網(wǎng)關(guān)的專用應(yīng)用級代碼。這種代理服務(wù)準(zhǔn)許網(wǎng)管員允許或拒絕特定的應(yīng)用程序或一個應(yīng)用的特定功能。包過濾技術(shù)和應(yīng)用網(wǎng)關(guān)是通過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)包通過，一旦判斷條件滿足，防火墻內(nèi)部網(wǎng) 絡(luò)的結(jié)構(gòu)和運(yùn)行狀態(tài)便"暴露"在外來用戶面前，這就引入了代理服務(wù)的概念，即防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)應(yīng)用層的"鏈接"由兩個終止于代理服務(wù)的"鏈接"來實(shí)現(xiàn)，這就成功地實(shí)現(xiàn)了防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離。同時(shí)，代理服務(wù)還可用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等功能。代理服務(wù)技術(shù)主要通過專用計(jì)算機(jī)硬件(如工作站)來承擔(dān)。

該防火墻結(jié)合了包過濾防火墻、電路級網(wǎng)關(guān)和應(yīng)用級網(wǎng)關(guān)的特點(diǎn)。它同包過濾防火墻一樣，規(guī)則檢查防火墻能夠在OSI網(wǎng)絡(luò)層上通過IP地址和端口號，過濾進(jìn)出的數(shù)據(jù)包。它也象電路級網(wǎng)關(guān)一樣，能夠檢查SYN和ACK標(biāo)記和序列數(shù)字是否邏輯有序。當(dāng)然它也象應(yīng)用級網(wǎng)關(guān)一樣，可以在OSI應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容，查看這些內(nèi)容是否能符合企業(yè)網(wǎng)絡(luò)的安全規(guī)則。規(guī)則檢查防火墻雖然集成前三者的特點(diǎn)，但是不同于一個應(yīng)用級網(wǎng) 關(guān)的是，它并不打破客戶機(jī)/服務(wù)器模式來分析應(yīng)用層的數(shù)據(jù)，它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接。規(guī)則檢查防火墻不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來識別進(jìn)出的應(yīng)用層數(shù)據(jù)，這些算法通過已知合法數(shù)據(jù)包的模式來比較進(jìn)出數(shù)據(jù)包，這樣從理論上就能比應(yīng)用級代理在過濾數(shù)據(jù)包上更有效。