安全

防火墙

防火墙包过滤

通过域来表示不同的网络，通过将接口加入域并在安全区域之间启动安全检查（称为安全策略），从而对流经不同安全区域的信息流进行安全过滤。

防火墙安全区域

数字表示优先级大小，低优先级到高优先级为入方向，反之为出方向。

首包检查机制

对一系列的数据流其源IP，目的IP，源端口号，目的端口号，协议等均一致的情况下称之为一条数据流。对这一条数据流只针对第一个包进行安全策略检查。若通过，后续报文不需安全策略检查。

会话表机制

一般安全策略信任区报文可直接发到非信任区，而反之会定制一个非常严格的安全策略，即基本上不允许非信任区发到信任区。这时信任区发送的报文的返回就是个问题。会话表机制就是为了解决这一问题。

内网用户发包到公网服务器，防火墙首先会对数据包进行策略检查，通过后会对包的源IP，目的IP，源端口号，目的端口号及协议号做记录称为会话表，从服务器返回流量后会对记录的内容进行匹配。如果返回的流量正好命中会话表，则不进行安全策略检查，直接进内网。
有些软件，如QQ或FTP服务器，由于机制的问题，客户端发起与服务器回应所用端口号不一致。eg：客户端发起用21端口，服务器回应用20端口，由于没有20号端口的会话表，则服务器发不过去。ASPF就是为了解决这一问题。

ASPF

Application Specific Packet Filter基于状态的报文过滤。
对常见端口号做统计。eg：发时21端口，通过端口号可识别这是FTP端口，则防火墙会同时允许20端口数据流的通过。

HRP

一般都有一主一备两防火墙，一般走主防火墙。但若主防火墙故障，由于没有任何数据流穿越备防火墙，因此备防火墙没有会话表，那么从服务器到客户机的流量不能通过安全策略检查，不能穿过防火墙，数据包被丢弃，HRP就是处理此问题的。
Huawei Redundancy Protocal是承载在VGMP报文上进行传输的，用于在主用设备和备用设备之间备份关键配置命令和会话表状态信息。

主防火墙故障