低端硬件防火墙_硬件防火墙优缺点

1.防火安全性能评价参数

2.如何选择正确的防火墙

3.防火墙的发展趋势

4.电脑太卡 上网不流畅

5.一个网络可以用两台防火墙吗？

6.揭秘美国思科是一家怎样的公司

7.如何优化飞塔防火墙的性能

任何电脑软件都会占内存，但是占内存只是多少问题 防火墙占的内存很小

如果感觉开机速度慢

可以下个360进行优化

360自动优化 需要开机运行与不需要运行的他都能智能处理~

希望优化软件只装1个360就够了 装多了会起冲突的~

防火安全性能评价参数

问题一：并发数是什么意思 并发数

并发数，计算机网络术语，是指同时访问服务器站点的链接数。

由于虚拟主机是建立在每台服务器多用户的基础上的，也就是多个用户共同使用一台服务器。为了避免同一台服务器上的某一个用户的IIS链接人数过多或占用服务器过多而影响其它用户的正常使用，所以，目前所有虚拟空间提供商都对单个用户的IIS链接数，流量及服务器进程占用CPU的比率进行了相应的限制。 当某一个用户的站点超出了服务器上的设制后，访问站点时就会出现服务器忙，或目前访问该站点的人数过多，超出了WEB的处理能力等相关错误提示。

问题二：并发是什么意思? 在多用户环境中，有两种用于更新数据库中数据的模型：开放式并发和保守式并发。设计 DataSet 对象的目的是为了促进将开放式并发用于长时间运行的活动，例如当您对数据进行远程处理以及当用户与数据进行交互时。

问题三：同步并发数量是什么意思 并发连接数 并发连接数是指防火墙或代理服务器对其业务信息流的处理能力，是防火墙能够同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。 并发连接数是衡量防火墙性能的一个重要指标。在目前市面上常见防火墙设备的说明书中大家可以看到，从低端设备的500、1000个并发连接，一直到高端设备的数万、数十万并发连接，存在着好几个数量级的差异。那么，并发连接数究竟是一个什么概念呢？它的大小会对用户的日常使用产生什么影响呢？要了解并发连接数，首先需要明白一个概念，那就是“会话”。这个“会话”可不是我们平时的谈话，但是可以用平时的谈话来理解，两个人在谈话时，你一句，我一句，一问一答，我们把它称为一次对话，或者叫会话。同样，在我们用电脑工作时，打开的一个窗口或一个Web页面，我们也可以把它叫做一个“会话”，扩展到一个局域网里面，所有用户要通过防火墙上网，要打开很多个窗口或Web页面发（即会话），那么，这个防火墙，所能处理的最大会话数量，就是“并发连接数”。 像路由器的路由表存放路由信息一样，防火墙里也有一个这样的表，我们把它叫做并发连接表，是防火墙用以存放并发连接信息的地方，它可在防火墙系统启动后动态分配进程的内存空间，其大小也就是防火墙所能支持的最大并发连接数。大的并发连接表可以增大防火墙最大并发连接数，允许防火墙支持更多的客户终端。尽管看上去，防火墙等类似产品的并发连接数似乎是越大越好。但是与此同时，过大的并发连接表也会带来一定的负面影响： 1.并发连接数的增大意味着对系统内存的消耗 以每个并发连接表项占用300B计算，1000个并发连接将占用300B×1000×8bit/B≈2.3Mb内存空间，10000个并发连接将占用23Mb内存空间，100000个并发连接将占用230Mb内存空间，而如果真的试图实现1000000个并发连接的话那么，这个产品就需要提供2.24Gb内存空间！ 2.并发连接数的增大应当充分考虑CPU的处理能力 CPU的主要任务是把网络上的流量从一个网段尽可能快速地转发到另外一个网段上，并且在转发过程中对此流量按照一定的访问控制策略进行许可检查、流量统计和访问审计等操作，这都要求防火墙对并发连接表中的相应表项进行不断的更新读写操作。如果不顾CPU的实际处理能力而贸然增大系统的并发连接表，势必影响防火墙对连接请求的处理延迟，造成某些连接超时，让更多的连接报文被重发，进而导致更多的连接超时，最后形成雪崩效应，致使整个防火墙系统崩溃。 3.物理链路的实际承载能力将严重影响防火墙发挥出其对海量并发连接的处理能力 虽然目前很多防火墙都提供了10/100/1000Mbps的网络接口，但是，由于防火墙通常都部署在Internet出口处，在客户端PC与目的中间的路径上，总是存在着瓶颈链路――该瓶颈链路可能是2Mbps专线，也可能是512Kbps乃至64Kbps的低速链路。这些拥挤的低速链路根本无法承载太多的并发连接，所以即便是防火墙能够支持大规模的并发访问连接，也无法发挥出其原有的性能。 有鉴于此，我们应当根据网络环境的具体情况和个人不同的上网习惯来选择适当规模的并发连接表。因为不同规模的网络会产生大小不同的并发连接，而用户习惯于何种网络服务以及如何使用这些服务，同样也会产生不同的并发连接需求。高并发连接数的防火墙设备通常需要客户投资更多的设备，这是因为并发连接数的......>>

问题四：当前用户并发数已满是什么意思 就是同时登录的用户太多了,超过的系统可以承载的最大数量

问题五：金蝶软件的并发用户数是什么意思 就是同一个时间点可以允许同时在线使用软件的人数，3个并发用户数就是同一时间允许3个用户同时使用软件，第四个人是无法使用的，否则必须挤掉一个用户。

问题六：OA并发数是什么意思 OA一般分为注册用户授权和并发用户授权，并发数是指同时可以多少个用户登录OA（而不限制多少人拥有OA帐号）。比如你单位有1000个人用OA,并发数是100，那么1000个人都能上OA，前提是同时登录OA的人只能是100个。

注册用户数就是只限制有多少人可以拥有OA帐号登录系统，不限制有多少人同时登录（当然不会超过注册用户数）

崛创科技为崛起而创造

问题七：虚拟主机说明里有个iIS并发数是什么意思？ IIS并发连接数是指,首先是向服务器请求XXX,然后还会请求这个网页里的CSS、JS、等，每次请求算一个IIS并发数，因此IIS理论上是要分为好几程序情况。

要分几种情况：（以100M空间50人在线为例）　　用户单点下载你的文件，结束后正常断开，这些连接是按照瞬间计算的，就是说你50人的网站瞬间可以接受同时50个点下载 ;用户打开你的页面，就算停留在页面没有对服务器发出任何请求，那么在用户打开一面以后的15分钟内也都要算一个在线，就是说你50人的网站15分钟内可以接受不同用户打开50个页面　　上面B的情况用户继续打开同一个网站的其他页面，那么在线人数按照用户最后一次点击（发出请求）以后的15分钟计算，在这个15分钟内不管用户怎么点击（包括新窗口打开）都还是一人在线。　　当你的页面内存在框架(Iframe)，那么每多一个框架就要多一倍的在线！因为这相当于用户同一时间向服务器请求了多个页面。　　当用户打开页面然后正常关闭浏览器，用户的在线人数也会马上清除。　　然后了解什么是论坛在线人数。　　论坛在线只是计算一定时间内的活动用户数。　　这里的时间用户可以自己设定(删除不活动用户时间)，动网论坛默认为40分钟的相对准确值。　　根据上面的说明，显然论坛在线和IIS连接数的概念不同　　比如您的网站20IIS，出现了403.9错误提示IIS连接过多，而这个时候你的论坛却只显示10人在线（设在线时间设置为20分钟），那么正确的解释应该是：　　访问您的网站有20个连接，其中正常访问论坛的人有10个。

问题八：并发量是什么意思 就是同时登录的用户太多了,超过的系统可以承载的最大数量

问题九：*** 并发条目数是什么意思 就是同时可以多少台电脑可以连接到*** 同时在线数

如何选择正确的防火墙

技术科目前四篇的考点总结已完结，今天为小伙伴们分享第五篇—安全评估的建筑性能化防火评估的考点总结，希望对大家备考有所帮助~

在学习新章节之前，我们先进行前面章节的复习：

点击查看→汇总篇|技术实务前四篇考点总结

点击查看→概述及火灾风险识别考点总结

点击查看→火灾风险评估方法考点总结

第四章建筑性能化防火评估

动态针分割线

四年共考了10分

通过对本章的学习，应掌握建筑性能化防火设计评估的概念以及可以解决的问题，熟悉如何确立消防安全目标及判定条件；

了解烟气模拟计算分析手段和烟气羽流有关参数的计算方法，掌握烟气流动几种计算模型的适用条件；

了解人员安全疏散计算模拟分析手段和影响人员安全疏散的因素，掌握疏散安全所需时间的组成和计算方法，熟悉通用疏散分析模型及特性；

了解建筑结构的主要形式及其耐火性能的特点，掌握影响建筑构件耐火性能的主要因素；

了解钢结构、钢筋混凝土结构的耐火计算方法以及整体结构计算的方法和步骤。

第一节 概 述

第二节 火灾场景设计

第三节 烟气流动与控制

第四节 人员疏散分析

第五节 建筑结构耐火性能分析

第一节 概 述

考点1 定义

性能化防火设计，是指根据建设工程使用功能和消防安全要求，运用消防安全工程学原理，用先进适用的计算分析工具和方法，为建设工程消防设计提供设计参数、方案，或对建设工程消防设计方案进行综合分析评估，完成相关技术文件的工作过程。

考点2 特点

与传统的防火设计规范相对比，性能化的防火设计规范具有以下特点。

1）加速技术革新。在性能化规范的体系中，对设计方案不做具体规定，只要能够达到性能目标，任何方法都可以使用，这样就加快了新技术在实际设计中的应用，不必考虑应用新设计方法可能导致与规范的冲突。性能化的规范给防火领域的新思想、新技术提供了广阔的应用空间。

2）提高设计的经济性。性能化设计的灵活性和技术的多样化给设计人员提供了更多的选择，在保证安全性能的前提下，通过设计方案的选择可以用投入效益比更优化的系统。

3）加强设计人员的责任感。性能设计以系统的实际工作效果为目标，要求设计人员通盘考虑系统的各个环节，减小对规范的依赖，不能以规范规定不足为理由忽视一些重要因素。这对于提高建筑防火系统的可靠性和提高设计人员技术水平都是很重要的。

考点3 存在的技术问题

性能化防火设计案例尚缺乏火灾验证。目前使用的性能化方法还存在以下技术问题。

1）性能评判标准尚未得到一致认可。

2）设计火灾的选择过程确定性不够。

3）对火灾中人员行为设的成分过多。

4）预测性火灾模型中存在未得到很好证明或者没有被广泛理解的局限性。

5）火灾模型的结果是点值，没有将不确定性因素考虑进去。

6）设计过程常常要求工程师超出专业之外的领域工作。

考点4 建筑物性能化防火设计的一般程序

1）确定建筑物的使用功能、建筑设计的适用标准；

2）检查为实现建筑师的设计思想与业主的要求，现行标准中哪些规定无法按规定要求实施，从而确定需要用性能化设计方法进行设计的问题；

3）进行性能化试设计和评估验证；

4）修改完善设计并进一步评估验证确定是否满足所确定的消防安全目标；

5）提交审查与批准。

考点5 性能化防火设计的内容

确定设计火灾场景与设定火灾，不同类型建筑的火灾荷载密度确定，烟气运动的分析方法，人员安全疏散分析，主动消防设施的对火反应特性分析，火灾危害和火灾风险的分析与评估，性能化设计与评估中所用方法的有效性分析。

防火墙的发展趋势

先要明确，防火墙不是路由器、交换机或者服务器。（虽然看起来比较象）所以不能用那些产品的指标来选择防火墙。那么选择防火墙应该注意哪些方面呢？

一安全性：这是重中之重。安全性不高的防火墙，其他性能再好也是空谈。安全性包括几个方面，自身安全性、访问控制能力和抗攻击能力。

自身安全性主要是指防火墙系统的健壮性，也就是说防火墙本身应该是难以被攻入的。还有防火墙的管理方式也很重要。管理员用什么方式管理防火墙，是telnet还是web，有没有加密和认证等等。

访问控制能力是防火墙的核心功能。访问控制能力包括控制细度，也就是能控制哪些内容，比如地址、协议、端口、时间、用户、命令、附件等等。还要注意的就是控制强度，也就是说应该限制的内容必须全部阻断，应该通过的内容不应该有任何阻断。

抗攻击能力是指防火墙对各种攻击的抵抗能力。包括抵御攻击的种类，数量。特别是对DOS和DDOS攻击的抵抗力。目前对于DDOS攻击还没有什么完善的解决办法。因此对DDOS攻击主要看能抵御的强度有多大。

用户在选择防火墙的时候，自己来判断以上这些性能是很困难的。因为用户没有专门的测试工具和手段。用户可以根据一些第三方的认证和评测来判断。比如能否拥有安全性较严格的军队认证、还有就是中国信息安全产品测评认证中心的等级证书。现在用的标准是国标GB/T18336，等级越高越好，一共7级。（不过现在最好的好像也就是EAL3）

二网络性能。

防火墙是个网络设备。在保证安全的基础上，应该最大程度减少对网络性能的影响。对于网络性能，主要就是看最大带宽、并发连接数、每秒新增连接数、丢包和延迟。这些指标和交换机、路由器都是相同的，这里就不多说了。但是有一点要注意。防火墙在策略起作用和全通策略的状态下，上述指标都是不一样的。用户一定要考虑实际环境。比如先按照用户的要求添加多少条策略（全通策略在最后）然后再测试。传说中有的百兆防火墙小包（64字节）通过率能达到70%以上，甚至90%，我觉得在实际使用中一定不可能。之所以能够测试出这样的数据只有两个可能：一是用高性能硬件，比如用了千兆网卡芯片，二是在测试机的内核做手脚。

三是网络功能。

这里包括的内容就多了，什么地址转换、IP/MAC绑定、静态和动态路由、源地址路由、代理、透明代理、ADSL拨号、DHCP支持、双机热备、负载均衡等等。

在这些眼花缭乱的功能里，用户应该有一双明亮的眼睛。因为并不是每一个功能用户都需要的，用户也不需要为了一些不需要的功能花冤枉钱。当然，价钱相等的情况下功能越多越好啊，呵呵。用户应该首先明确自己都需要什么功能，并且要确定这些功能都要达到什么效果。然后再寻找相应的设备。有些功能在不同厂家的定义是不同的。实现的效果也不一样。

四是管理功能。这里面的内容也不少。用户不要小看了这里的东西。防火墙这种设备不像交换机，安装好了50年不管。防火墙需要经常管理。日常的管理就是看日志，修订策略，添加和删除用户。更高的管理还包括第三方互动，***建立，远程集中管理等等。管理方面用户应该注意界面的友好性，设置选项应该通俗易懂。日志特别重要，好的日志系统应该有详细的记录，包括连接的状态和内容，应该便于分类和排序，应该方便存入数据库并有syslog等标准的接口。远程管理对用户来说要注意管理命令的加密和认证，是否支持策略远程导入导出等等。至于管理的界面是否好看，那就看个人喜好了。

五是质量。防火墙的质量表现可不是做工精细不精细啊，而是防火墙是否能经久耐用。现在比较先进的防火墙普遍用的是贴板技术。也就是将所有的原件都用贴片的工艺。这样整个防火墙都是一体的，自然不容易出故障。如果防火墙的内存，网口还用插槽的方式，甚至还用普通硬盘作为系统内核存储设备，那系统的稳定性就可想而知了。另外在高稳定性要求的环境里要看有没有双电源，大功率风扇等等。虽然看上去是细节，但是我可是知道很多防火墙室内温度一高就死机的。：）

上面说的内容都是对防火墙产品本身的一些介绍。我想大家应该对怎样选择防火墙有个原理性的认识了。那么下面就针对一些实际情况来讲一讲。先把我在一开始提的几个误区做个Q&A吧。

误区一：防火墙是国外的好。

解释：在网络安全领域，甚至是计算机领域，我们完全不用崇洋媚外。因为国内的研发力量已经渐渐在赶超了。当然，我们的整体实力还是有限的。但是，对于防火墙这种比较成熟的技术来说，我们完全可以做的和国外的一样好。国外品牌，大家熟知的checkpoint，为什么现在的市场份额越来越少？主要是自己不思进取。别人早都用硬件防火墙了，他还死抱着纯软件不放。现在和nokia合作推出硬件产品，是没办法的事。这种合作我也很不看好。毕竟对nokia来说这是小生意，不会重视的。在国内进行的多次评测中，国内的产品在性能指标上和国外的产品各有千秋。当然，国外的产品占了几个最，比如最快的产品是netscreen，支持协议最多的是checkpoint，入侵检测结合的最好的是fortinet。但是不要忘记，这些防火墙往往都是一个方面突出，然而其他方面就很一般了。国内的防火墙优势在于，功能比较全面，很容易用，服务本地化。片面强调一个功能对防火墙来说是不够的。用户应该结合自己的实际来选择防火墙。我认为国内的防火墙在性价比上是很好的。

也有人担心国内防火墙安全性不够。国家在这些方面都有专门的认证和评测机构。我想不是白吃饭的。（当然，有的评测确实只拿钱不测试）而国外的就一定安全么？我想更应该在心里划个问号。

误区二：防火墙纯硬件的比linux架构的好。

解释：硬件还是软件，这个只是跟实现原理有关。要实现防火墙的功能还是靠软件。ASIC的防火墙是把防火墙代码做在芯片里，运行的效率当然高。但是别的呢？防火墙可不是只做包检测的设备。还有很多别的功能。要想全部集成在芯片里，难度很大。特别是如果新出现了一个功能，要添加到原有的ASIC芯片里，往往很难。有人说ASIC芯片速度快。这个问题分两个角度来考虑。第一，韩国也有ASIC芯片的防火墙。而且国内也有OEM的（是哪一家我不说了），但是都是低端产品，并发连接只有几千而已。所以不是ASIC就一定好，要看研发的水平了。第二你需要这么快的速度么？速度是重要的，但不是唯一的。现在netscreen能做到几十个G，但是有个几个用户有这么大的带宽？除了电信，没几个用得着。而linux架构的防火墙在软件上可以很容易的添加功能，甚至可以应用户的要求订制开发。

误区三：防火墙各项指标越高越好。

其实还是那句话：按需选择。可能用户有的是钱，那当然另说了。但是在用户资金有限的情况下，还是应该仔细衡量一下，哪些指标对用户来说更有用。当然，选择产品时一定要有前瞻性，产品最好能适应今后两年网络的扩展。我曾经见过用户的选型方法是这样的：因为我们的专线是电信用光纤拉过来的，所以我们要用千兆防火墙和交换机。其实这根光纤只有8M。我想，电信发展的再快，专线速度达到100M以上恐怕也是5、6年以后的事情了（租金多少还难说），因此现在就选择千兆设备还不如选个好的光电转换模块。有的用户片面追求最大并发连接数，认为并发连接越大越好。其实这也是国内一些厂商的误导。最大并发连接够用就可以了。现在的国内厂家在这个指标上玩花样，你可以对比这两年同型号产品的公开指标，会发现有些产品的并发连接突然成倍增长。当然，也可能是产品升级了，但是很多情况是厂家为了打标，故意修改的数字。反正大部分用户都没条件测试最大并发，我写个几百万你怎么知道？其实对于百兆防火墙来说，有100万的并发应该足够了，富富有余。其他的指标也一样，按需选择才是根本。

电脑太卡 上网不流畅

防火墙未来的技术发展趋势

随着新的网络攻击的出现，防火墙技术也有一些新的发展趋势。这主要可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来体现。

1. 防火墙包过滤技术发展趋势

（1）. 一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中，使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常必要。具有用户身份验证的防火墙通常是用应用级网关技术的，包过滤技术的防火墙不具有。用户身份验证功能越强，它的安全级别越高，但它给网络通信带来的负面影响也越大，因为用户身份验证需要时间，特别是加密型的用户身份验证。

（2）. 多级过滤技术

所谓多级过滤技术，是指防火墙用多级过滤措施，并辅以鉴别手段。在分组过滤（网络层）一级，过滤掉所有的源路由分组和冒的IP源地址；在传输层一级，遵循过滤规则，过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等；在应用网关（应用层）一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术，它可以弥补以上各种单独过滤技术的不足。

这种过滤技术在分层上非常清楚，每种过滤技术对应于不同的网络层，从这个概念出发，又有很多内容可以扩展，为将来的防火墙技术发展打下基础。

（3）. 使防火墙具有防护功能。现在通常被称之为"防火墙"，当然目前主要还是在个人防火墙中体现，因为它是纯软件形式，更容易实现。这种防火墙技术可以有效地防止在网络中的传播，比等待攻击的发生更加积极。拥有防护功能的防火墙可以大大减少公司的损失。

2. 防火墙的体系结构发展趋势

随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外，在以后几年里，多媒体应用将会越来越普遍，它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要，一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来，基于网络处理器的防火墙也是基于软件的解决方案，它需要在很大程度上依赖于软件的性能，但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎，从而减轻了CPU的负担，该类防火墙的性能要比传统防火墙的性能好许多。

与基于ASIC的纯硬件防火墙相比，基于网络处理器的防火墙具有软件色彩，因而更加具有灵活性。基于ASIC的防火墙使用专门的硬件处理网络数据流，比起前两种类型的防火墙具有更好的性能。但是纯硬件的ASIC防火墙缺乏可编程性，这就使得它缺乏灵活性，从而跟不上防火墙功能的快速发展。理想的解决方案是增加ASIC芯片的可编程性，使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。

3. 防火墙的系统管理发展趋势

防火墙的系统管理也有一些发展趋势，主要体现在以下几个方面：

（1）. 首先是集中式管理，分布式和分层的安全结构是将来的趋势。集中式管理可以降低管理成本，并保证在大型网络中安全策略的一致性。快速响应和快速防御也要求用集中式管理系统。目前这种分布式防火墙早已在Cisco（思科）、3Com等大的网络设备开发商中开发成功，也就是目前所称的"分布式防火墙"和"嵌入式防火墙"。关于这一新技术在本篇下面将详细介绍。

（2）. 强大的审计功能和自动日志分析功能。这两点的应用可以更早地发现潜在的威胁并预防攻击的发生。日志功能还可以管理员有效地发现系统中存的安全漏洞，及时地调整安全策略等各方面管理具有非常大的帮助。不过具有这种功能的防火墙通常是比较高级的，早期的静态包过滤防火墙是不具有的。

（3）. 网络安全产品的系统化

随着网络安全技术的发展，现在有一种提法，叫做"建立以防火墙为核心的网络安全体系"。因为我们在现实中发现，仅现有的防火墙技术难以满足当前网络安全需求。通过建立一个以防火墙为核心的安全体系，就可以为内部网络系统部署多道安全防线，各种安全技术各司其职，从各方面防御外来入侵。

如现在的IDS设备就能很好地与防火墙一起联合。一般情况下，为了确保系统的通信性能不受安全设备的影响太大，IDS设备不能像防火墙一样置于网络入口处，只能置于旁路位置。而在实际使用中，IDS的任务往往不仅在于检测，很多时候在IDS发现入侵行为以后，也需要IDS本身对入侵及时遏止。显然，要让处于旁路侦听的IDS完成这个任务又太难为，同时主链路又不能串接太多类似设备。在这种情况下，如果防火墙能和IDS、检测等相关安全产品联合起来，充分发挥各自的长处，协同配合，共同建立一个有效的安全防范体系，那么系统网络的安全性就能得以明显提升。

目前主要有两种解决办法：一种是直接把IDS、检测部分直接"做"到防火墙中，使防火墙具有IDS和检测设备的功能；另一种是各个产品分立，通过某种通讯方式形成一个整体，一旦发现安全，则立即通知防火墙，由防火墙完成过滤和报告。目前更看重后一种方案，因为它实现方式较前一种容易许多。

三、分布式防火墙技术

在前面已提到一种新的防火墙技术，即分布式防火墙技术已在逐渐兴起，并在国外一些大的网络设备开发商中得到了实现，由于其优越的安全防护体系，符合未来的发展趋势，所以这一技术一出现便得到许多用户的认可和接受。下面我们就来介绍一下这种新型的防火墙技术。

因为传统的防火墙设置在网络边界，外于内、外部互联网之间，所以称为"边界防火墙（Perimeter Firewall）"。随着人们对网络安全防护要求的提高，边界防火墙明显感觉到力不从心，因为给网络带来安全威胁的不仅是外部网络，更多的是来自内部网络。但边界防火墙无法对内部网络实现有效地保护，除非对每一台主机都安装防火墙，这是不可能的。基于此，一种新型的防火墙技术，分布式防火墙（Distributed Firewalls）技术产生了。它可以很好地解决边界防火墙以上的不足，当然不是为每对路主机安装防火墙，而是把防火墙的安全防护系统延伸到网络中各对台主机。一方面有效地保证了用户的投资不会很高，另一方面给网络所带来的安全防护是非常全面的。

我们都知道，传统边界防火墙用于限制被保护企业内部网络与外部网络（通常是互联网）之间相互进行信息存取、传递操作，它所处的位置在内部网络与外部网络之间。实际上，所有以前出现的各种不同类型的防火墙，从简单的包过滤在应用层代理以至自适应代理，都是基于一个共同的设，那就是防火墙把内部网络一端的用户看成是可信任的，而外部网络一端的用户则都被作为潜在的攻击者来对待。而分布式防火墙是一种主机驻留式的安全系统，它是以主机为保护对象，它的设计理念是主机以外的任何用户访问都是不可信任的，都需要进行过滤。当然在实际应用中，也不是要求对网络中每对台主机都安装这样的系统，这样会严重影响网络的通信性能。它通常用于保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏

一个网络可以用两台防火墙吗？

1、本身电脑硬件配置低端，这需要升级硬件配置！

2、软件冲突，比如安装了杀毒软件，杀毒软件默认都有自动保护（web反，文件保护，内存保护等），这些保护在每次监视过程中都要用到系统cpu和内存，导致电脑卡！这就要求合理的设置杀毒软件自动保护项！（比如我推荐平时上网都看健康型网站的话，建议只要打开文件保护就可以了）

3、系统优化不到位，导致系统冗余以及垃圾文件较多，可以使用优化大师等软件来优化一下（此软件还可以优化开机关机速度）

4、跳出网站说明电脑中了或者木马，所以建议菜鸟级用户及时升级系统补丁，然后装上杀毒软件

防火墙

防木马软件（因为这样的软件太多，一时也无法评估好菜鸟去选择适当的，那么我简单推荐：卡巴斯基杀毒

瑞星防火墙

揭秘美国思科是一家怎样的公司

没有问题。可以。建议你原有网络结构不变，在原先接WEB服务器的那根线中间加你新购置的防火墙。其次，就是你要先分析好网络设置，做好测试，再把WEB服务器切换到新线路，以防影响WEB服务器。

如何优化飞塔防火墙的性能

揭秘美国思科是一家怎样的公司

　引导语：思科公司拥有全球最大的互联网商务站点，制造的路由器、交换机和其他设备承载了全球80%的互联网通信，成为硅谷中新经济的。下面是我为你带来的揭秘美国思科是一家怎样的公司，希望对大家有所帮助。

　过去20多年，思科几乎成为了?互联网、网络应用、生产力?的同义词，思科公司在其进入的每一个领域都成为市场的领导者。

　1994 年初，任正非的同事清华的李星教授说当时教育部副部长韦钰提出要教育科研机构建立互联网，这便是中国互联网的开始。很快中国派了一个代表团包括吴建平、李星等中国最早研究互联网的学者到美国考察互联网、并且考察生产互联网设备，主要是路由器(Router)的公司。当时很快就定下了美国思科(Cisco)公司的设备，并且很快到了货。

　很短的时间，中国自己最早的互联网就在大学里诞生了(虽然高能所更早连到了互联网上，但是那实际上是美国斯坦福大学线性加速器实验室的一个子网)当时，几乎没有人知道这个思科公司，即使今天由于思科公司的产品不直接面向用户，知道它的人也远不如知道麦当劳的多，尽管思科有麦当劳的三倍大。但是，如果告诉大家，没有思科和同类公司生产的路由器就没有今天的互联网，那么大家就知道思科在我们生活中的作用了。思科是一个标准的网络时代弄潮儿，随着互联网的出现而兴，随着其泡沫的破碎而一度衰落。

　在 2000 年，思科曾经在一瞬间超过微软，成为世界上股值最高的公司(五千四百亿美元)，那时思科股票一天的交易额超过当时整个中国股市。911 以后，它的股票一度缩水 85%。那年，思科的 CEO 钱伯斯宣布了思科历史上唯一一次大裁员，同时他将自己的工资降到每年一美元，成为世界上工资最低的 CEO。这种做法一度被传为佳话，并纷纷为那些愿意和公司同甘共苦的老板们效仿。几年后的今天，思科已走出低谷，并且成为世界最大的设备制造公司。

　1.好风凭借力

　和惠普、太阳、雅虎、谷歌等公司一样，思科是一个标准的斯坦福公司。斯坦福各个系都有自己联网的计算中心，网络之间通过一种叫路由器的设备连接。八十年代初，斯坦福两个不同系的计算中心主管里奥纳多?波萨克(Leonard Bosack)和桑迪?勒纳(Sandy Lerner)恋爱了。上面是事实，下面则是广泛流传的谣言。两个人要在计算机上互相写情书，由于各自管理的网络不同，设备又是乱七八糟，什么厂家的、什么协议的都有，互不兼容，情书传递起来很不方便，于是两人干脆发明了一种能支持各种网络服务器、各种网络协议的路由器。于是思科赖以生存的?多协议路由器?便诞生了。

　听到这个谣言的人绝大多数都信以为真，因为它不仅夹杂着很多事实，而且合情合理。虽然，网络早有了，美国很多大学、公司和部门从七十年代起就开始使用局域网了，连接网络的路由器也早有了。但是，由于不同网络设备厂家用的网络协议，每个公司都要推广自己用的协议，没有公司愿意为其它公司做路由器。在互联网还没有普及时，这个问题不大，因为一个单位内部的网络基本上会用相同的协议。在 年，互联网还没有兴起，因此各个网络公司如 IBM 并没有注意到这种多协议路由器的重要性。

　波萨克和勒纳后来结为了夫妇。夫妇两人非常聪明而勤奋，但是更非常。在他们创办了思科公司的一年前，即 1983 年，美国自然科学基金会(N)刚刚投资建设了连接各个大学和美国几个超级计算机中心的广义网 NNet，即今天的互联网雏形。当时建设 NNet 的目的是让科研人员不需要出差到超级计算机中心就能通过远程登录而使用那些超级计算机。而思科创建的一年后，即 1985 年 NNet 就开始和商业网络对接。

　由于各大学、各公司的网络用的协议不同，使用的设备也不同，因此对多协议路由器的需求一下子产生了。正在这时，1986 年思科推出第一款产品，连市场都不用开拓，就用于了刚刚起步的互联网。思科 Cisco 是旧金山英文名字 San Francisco 的最后五个字母，思科公司的图标正是旧金山的金门大桥，创始人的意思是要建起连接不同网络的桥梁。这对夫妇恐怕开始也没有想到以后思科能变成世界上最大的设备制造商。倒是硅谷著名的风险投资公司红杉风投(Sequoia Capital)看中了这个市场将来的潜力，给这对年轻夫妇投了资。红杉风投投资喜欢投给年轻的穷人，因为越是穷人越有成功的欲望和拼搏精神。红杉果然没有看错，到 1990 年，思科就成功地上市。

　和我们前面介绍过的从 AT&T 到微软的各公司相比，思科的发展是最一帆风顺的。思科早期成功的关键在于它的两个创始人在最合适的时机创办了一个世界上最需要的公司。如思科早创立两年，它可能在市场还没有起来时就烧完了它的投资而关门了，反过来也一样，如果它迟了两年，就可能被别的公司占了先机。在思科还是一个小公司时，各大计算机公司各自有自己很大的市场，它们首先想的是在网络市场上打败对手们而不是研制包容各公司网络产品的路由器，因此，没有公司和思科争夺多协议路由器的市场。而等到互联网兴起时，思科已经占据了路由器市场的领先地位。

　思科的正好和以朗讯为代表的传统电信公司的不幸互补，互联网的兴起，使得世界上数据传输量急剧增加，而语音通话量下降。下图是从 1996 年到 2002 年世界数据通信量和语音通信量的对比，单位是 Gb/s。

　在中国，固定电话市话的通话从 2005 年起甚至出现了下降。据中国信息产业部发布的统计数据，2005 年 1-11 月，固定电话本地通话时长比 2004 年同期增长 0.1%。信产部方面同时表示，固定本地电话通话量的增长中，小灵通通话量比去年同期增长 22.0%，所占比例从去年同期的 20.5% 上升到 25.0%。这实际上意味着传统的固定电话本地通话量实际上为负增长。而 2006 年对比 2005 年，市话的通话量进一步下降。这当然一方面是因为手机得以快速普及，另一方面数据传输抢了语音传输的市场。

　浪潮之巅第一章?帝国的余辉?登出来后，有一些朗讯的朋友和我争辩认为他们公司还在发展，并不只有余辉。我讲，你们是在发展，而且从语音通信量上看，不到十年增加了一倍多也不算慢，但是语音通信在整个世界通信量中的比重从占统治地位降到一个附庸地位。全世界能花在通信设备上的钱数几乎是一个常数(以每年几个百分点增长)，而越来越多的钱花在了数据通信设备例如思科的设备，而不是传统的程控交换机上，(更何况思科也在抢交换机的市场)。虽然朗讯也可以做类似思科用于互联网的产品，但是，它们在技术上已经没有了优势，在资金上严重短缺。思科扣除债务拥有一百六十亿美元的现金，而其他电信设备制造商如阿尔卡特/朗讯、北电等等，扣除债务后是零现金或者是负数。因此，思科自从诞生，就处在了一个想不挣钱都难的行业，而朗讯则进入一个神仙也没办法的时代。

　思科地站到了互联网革命的浪潮之巅，在互联网革命大潮的推动下，思科上市后仍然能保持强劲的增长势头。当然，思科能坐稳网络设备供应商的头把交椅，很大程度上取决于它非常特殊的文化。

　2. 持续发展的绝招

　思科上市后，两个创始人马上成了亿万富翁。思科今天的股价，是上市时的500倍。它早期的员工，只要在理财上不要太冒险，比如在互联网泡沫时代买了很多网络垃圾股(当时叫网络概念股)，也成了千万富翁或者百万富翁。这些人在富有了以后很多会选择离开公司去创业或者干脆退休。事实上，思科的两个创始人自己已经选择了这条路，离开了公司。

　一个成功的公司的早期员工是非常宝贵的财富。他们一般是一些非常爱冒险的人，否则他们不会选择加入新开办的甚至是还没有投资的小公司，他们技术和能力非常强，常常每个人可以独挡一面，因为早期的公司要求员工什么都得能干。他们同时对新技术非常敏感，否则他们在众多新兴公司中就不会挑选中那些日后成功的。但是，他们也有他们的弱点。他们虽然善于开创，但不善于或者不愿意守成，而后者对于一个大公司发展至关重要。他们做事快，但是不够精细，因为在公司很小时，抢时间比什么都重要。因此在公司发展到一定阶段，他们会和新的管理层发生冲突 ? 新的主管会觉得他们不好管。这就如同打江山的人未必能治理江山。这些员工很可能自己出去开公司。而即使留在公司的这些早期员工已经腰缠万贯，原先的动力也要大打折扣。因此，如何留住早期员工，并且调动他们的积极性，便成为了每一个上市的科技公司的难题。

　另外，一个公司大到一定程度后，每个人的贡献就不容易体现出来，大锅饭现象几乎是全世界的通病。一些员工虽然有很好的想法，也懒得费功夫去推动它，因为自己多花几倍的时间和精力最多能多得百分之几的奖金。偶尔出来一两个人试图推动一下，又会发现在大公司里阻力很大。因此，有些员工一旦有了好的想法，宁可自己出来创业，也不愿贡献给自己的公司。这两个问题在硅谷普遍存在，而思科是这些问题解决得最好的公司。

　思科的办法很像在大航海时代西班牙和葡萄牙国王对待探险者的做法。那时，包括哥伦布和麦哲伦在内的很多航海家都得到了王室的资助。这些冒险者，很多是亡命之徒，其航海的目的并不是为了名垂青史，而是为了实实在在的利益。他们和王室达成一种协议，一旦发现新的岛屿和陆地，则以西班牙或者葡萄牙王室的名义宣布这些土地归国王所有，同时国王封这些发现者为那个岛屿或者土地的总督，并授予他们征税的权力。

　这样一来，西班牙和葡萄牙王国的疆土就得以扩大。思科具体的做法是，如果公司里有人愿意自己创业，公司又觉得他们做的东西是好东西，就让他们留在公司内部创业而不要到外面去折腾，而思科会作为投资者而不再是管理者来对待这些创业的人。一旦这些小公司成功了，思科有优先权把它们买回来，思科的地盘就得到扩大。而这些独立的小公司的创办者和员工，又可以得到很高的回报。这样本来想离开思科出去创业的人也就不用麻烦了，接着上自己的班，只是名以上换了一家公司。当然，如果这些小公司没办好关门了，那么思科除了赔上一些风险投资的钱，没有额外的负担。这种做法不仅调动了各种员工尤其是早期员工的积极性，也避免这些员工将来成为自己的对手或者加入对手的阵营。

　思科自己公布的从 1993 年起的收购超过百起，这没有包括很多小的收购。以 1999 年思科七十亿美元的天价收购 Cerent 公司为例。后者本身就是由思科前副总裁 Bhadare 创办的，从事互联网上数据传输设备制造的公司，并且在早期得到思科一千三百万美元的投资。Cerent 的技术和产品显然是思科所要的。

　事实上，从思科分出来的这些小公司比其它创业的公司更容易被思科收购。因为，一方面这些创始人最清楚思科要什么技术和产品，也最了解思科本身的产品以便为思科量身定做。另一方面，他们容易得到风险投资的支持，因为风投公司能看的清它们投的公司将来出路在哪里 ? 卖回给思科。所以，在硅谷一些想通过新兴公司发财上市和收购财的人，当看不准哪个公司有发财相时，简单的办法就是加入那些思科人，尤其是思科高管和技术骨干开的小公司。这一招在千禧年的前几年颇为灵验，当然这些弄潮儿还得让人家公司看得上。

　在思科，人们经常会遇见自己?二进宫?甚者?三进宫?的同事。一个员工因为转到思科支持的小公司，从名以上讲暂时不算思科员工了，但是随着思科收购回那个小公司，这个员工再次?加入?思科了。这个员工出去转了几年，回到原来的位置，但是却腰缠万贯了。

　思科通过这种做法，基本上垄断了互联网路由器和其它重要设备的技术。因为一旦有更新更好的技术出现，思科总是能有钱买回来。如果说微软是赤裸裸地直接垄断市场，那么思科则是通过技术间接垄断了互联网设备的市场。在一般人印象中，硬件生产厂家的利润不会太高，但是思科的毛利却高达 65%。不仅在整个 IT 领域大公司里排第二位，仅次于微软的 80%，而且远远高于一般人想象的高利润的石油工业(35%)。这种高利润只有处于垄断地位的公司才能做到。

　大家也许会问，既然思科这种办法证明有效，为什么别的公司学不来。当然这一方面因为并非所有公司的领袖都有思科 CEO 钱伯斯(John Chambers)的胸怀和远见卓识，更重要的是思科的基因使然。思科自己的创建就是用到了两个创始人的职务发明。斯坦福大学当时虽然很想独占?多协议路由器?的发明，但是最终很开明地和两个发明人共享了这项技术。当然思科上市后，波萨克和勒纳为斯坦福捐了很多钱，除此以外斯坦福还拥有很多思科的股票，因此斯坦福和波萨克和勒纳通过思科的到了双赢。正是如此，思科能做到宽容员工用自己职务发明开办公司。另外，思科员工的发明，一般很难单独成为一种产品，而必须应用到现有网络通信系统或设备中，因此它们最好的出路就是卖给思科。所以，思科倒是不怕这些小公司将来反了天。

　托尔斯泰讲，幸福的家庭都是相似的，不幸的家庭各有各的不幸。在信息工业中，这句话要反过来讲，成功的公司各有各的绝招，失败的公司倒是有不少共同之处。思科这种成功的做法，一般的公司是抄不来的。

　3. 竞争者

　如果说微软是善于便市场优势为技术优势，思科则是反过来，它通过自己的研发和收购，变技术优势为市场优势。虽然华尔街把阿尔卡特-朗讯和加拿大的北电也算做了思科的竞争者，其实这两个以程控交换机见长的公司和思科不完全处在同一个领域，基本上威胁不到思科。而且思科一家的市值超过其它传统通信设备公司的总和。

　思科真正的竞争对只有一一真两个。让我们先来看看的?Juniper Networks。这个公司基本上是思科的影子公司，相当于 AMD 对英特尔的地位。Juniper 的产品定位在高端，而不像思科从小到 IP 电话机，大到高端路由器都做。虽然 Juniper 是在产品上和思科最相似的公司，但是它的营业额只有思科的 7%，2006 年分别为二十五亿和三百五十亿美元。这还是在 Juniper 并购了和它规模同样大的防火墙厂商 Netscreen 公司以后，而它的市值现在还不到思科的 5%，分别为八十亿美元和一千九百亿美元。思科留着这个竞争对手主要是处于反垄断的考虑。因为有了 Juniper，思科省了很多反垄断法带来的麻烦。而且，美国很多部门和大公司在购时要求必须从两个以上的厂家中挑选，因此，思科为了做生意以必须允许 Juniper 的存在。否则，以思科手上的现金，就可以把 Juniper 买三次了。虽然 Juniper 宣称自己存在的理由是技术好，但是，它这些年增长并不比思科更快，因此更深层的原因是思科必须放它一马。

　思科真正的对手是中国的小弟弟华为。作为中国民族工业的代表，华为在中国几乎家喻户晓，虽然大部分人并不关心它做的路由器产品。因此，在这里也就不用赘述华为的故事和成功经验了。作为一个民办企业，华为虽然得到了的一些帮助，但是，它能够发展起来它一开办就定了一个高起点、还靠私营企业的高效率和员工的勤劳。

　华为公司比思科成立晚四年，早于 Juniper 八年。华为创办时起点就很高，当时邮电部下面的一些研究所还在和 AT&T 等跨国公司谈二流技术的转让和合作，任正非直接就定位当时国际上最先进的技术，并且短短几年就开发出了当时具有国际先进水平的 08 程控交换机。2006 年，华为的销售额已经到达 650 亿人民币，大约 90 亿美元，是 Juniper 的两倍。值得一提的是华为销售额的三分之二来自海外，这和房地产销售因泡沫经济的虚高有很大的不同，因为前者是实实在在的业绩。因此，华为已经成为思科在世界上主要的竞争对手。

　虽然目前华为的市场占有率按营业额计算只有思科的四分之一，但是前途不可限量。这不仅因为华为以比思科更快的速度发展，更重要的是华为将思科拖入了?中国制造?效应的阴影中，这是后者极不愿意的。我们在以后会专门讨论?中国制造?的效应。它基本的影响是，当一个原本只能在美欧生产的产品，经过一段时间则可以过渡到日本和韩国，进而落脚于中国。美欧公司能赚钱的时间只有从美国到中国这段时间差，以前这段时间可以长达数十年，现在只有几年。

　一旦一项产品可以由中国制造，那么它的利润空间就会薄到让美欧公司退出市场。现在，思科和华为的竞争就是在这种阴影笼罩下。因为华为已经可以生产和思科匹敌但是价格便宜许多的低端网络设备，因此，思科相应产品的利润已经被华为封顶。思科内部存在一个和 IBM 类似的问题，一些部门虽然毛利率相比整个行业并不低，但是扣除研发、市场和管理等费用，就成为亏损部门。在华尔街的压力下，它不得不放弃这些低利润的产品。当然，思科在高端产品和新产品上的优势是华为短期内无法相比的，但是，如果一个公司只剩下高端产品，那么它就在也不能成为全行业的垄断者。

　令思科烦恼的是，华为这个?小公司?追赶自己的速度快的惊人，这主要是因为华为比思科灵活得多。在思科，一个产品从立项、设计、开发到测试然后上市，每一个过程都严格而复杂，而华为相对简单得多。这种现象不仅存在于思科和华为的竞争中，反映在很多跨国公司和中国本土公司的竞争中，包括在互联网行业。跨国公司用相对保守的策略是合理的，它们只要做到比其它跨国公司发展得更快就可以了，但是千万不能出错，这样，华尔街最满意。但是，当它们遇到不按常规出牌的公司，以前是日本的，现在是中国的公司时，就显得节奏跟不上了。

　华为可能是中国目前在 IT 行业唯一可以和世界上的行业老大竞争的公司，这很大程度上因为华为从公司结构和经营上已经和美欧上市公司没有什么差别，同时华为有一位了不起的统帅任正非。任正非，作为一个创造者和巨人(Builder and Titan)2005 被时代周刊评为世界上 100 个最有影响的人物。它不仅是中国唯一作为创造者和巨人上榜的人，也是全世界除美国以外绝不仅有的几个人之一。华为唯一要注意的是避免亚洲家族企业从兴到衰的宿命。

　当然，华为近期还不可能动摇思科的根本。这一两年得益于以互联网公司的兴起，已经走出了 2001 年的谷底销售直线上升。这里，我们在一次看到安迪-比尔定理的作用。在互联网行业，服务型公司谷歌和雅虎等会先起步，然后带动网络设备公司的业绩。从股票表现看，从 2003 年到去年，谷歌的股票率先增长，思科和 Juniper 公司有个滞后，从去年起开始恢复。我们从图中可以看到，思科的股票走势和谷歌吻合的非常好。

　目前，互联网的发展依然方兴未艾，只要思科不做蠢事，今后几年它完全可以乘着互联网第二次革命的'浪潮顺利地发展。但是，再往后会怎么样呢?

　4. 诺威格定理的宿命

　谷歌研究院院长彼得.诺威格博士说，当一个公司的市场占有率超过 50% 以后，就不要再指望在市场占有率上翻番了。这句话在信息工业界广为流传。这是一个很朴素的道理，但是常常被一些公司领导者忽视。在互联网泡沫时代，太阳公司占有了觉得部分工作站市场，市值一度超过一千亿美元。但是，它还在盲目扩大试图在工作站和服务器上进一步开拓市场，结果，一旦经济进入低谷，工作站和服务器市场迅速收缩，即使它占到 100% 的市场份额也无济于事，事实上，太阳公司的市值蒸发了 90% 多。

　思科公司现在面临同样的问题。即使它占据了全部路由器市场，它也很难使公司在成长一倍。而且，由于反摩尔定理的作用，它的营业额并不能因为多买了一些设备而常比例的提升。因此，除非它能开拓出新的市场，否则会成为下一个朗讯。要摆脱诺威格定理的宿命，就必须找到和原有市场等规模甚至是更大的新市场。

　思科的舵手钱伯斯很早就未雨绸缪了。思科大强度投入 VoIP(Voice on IP)，即用互联网打电话的业务，包括收购了这个领域颇有名气的 Linksys 公司。同时，思科进军存储设备和服务业务，并且也收购了一些相应的公司，为它的 VoIP 战略做策应。以前，在电话时代，世界上的信息通信主要依靠电话线，每个人或者家庭在那个时代的标识符就是电话号码。当然这些电话线不是乱七八糟搅在一起的，而是通过交换机连接的。到了互联网时代，更多的信息是通过互联网传播的，正如像在前面语音通信和数据通信量对比图中所反映的那样。这时，每个人和家庭的表示是 IP 地址，当然，网络路由器代替了原来程控交换机的地位。思科也代替了朗讯的地位。

　事实上，由于现在互联网的带宽远远超过了过去电话网络的带宽，因此，通过互联网传递语音完全有可能。这样世界上就不需要传统的电话网了，一切可以通过互联网进行。思科公司自己已经使用 IP 电话多年来，但是在全世界普及还需要时间。同时，有一些技术问题要解决，比如电话通过互联网上传播的延时问题，虽然这个问题随着网络速度越来越快而变得不是很明显。Skype 公司已经提供了全球的免费通过互联网的电话服务，但是和思科要做的真正的取代传统电话的 IP 电话还有很大差距。Skype 为了保证一个电话语音数据包能及时地传递到对方，它会将该包复制多份通过互联网上的多条线路进行传送，这种霸道的做法效率其实非常低，比传统电话的传输效率还低得多。只是 Skype 滥用了互联网免费这样点，实际上是让铺设互联网的电信公司变相为它买单。

　电话能在互联网上传，有线电视也可以通过互联网传播。事实上，很多家庭已经使用了有线电视，其线路完全可以用于打电话和上网，当然要进行一些改造。这其中商业的难度比技术上大，因为这些联入家庭的电缆控制住在有限电视公司手里。但是不管怎样，从技术上讲一条高速电缆线完全处理电视、电话和上网三件事，这一切则通过类似于 VoIP 的技术来实现。让我们不妨来看一看思科为大家设计的远景。

　张家是个典型的四口之家，晚上上高中的儿子要看橄榄球赛，但是他回家时球赛已经开始了半小时，但是他还是想从头看起。上小学的女儿要看今天同学介绍的最近电视台不会播放的卡通片，父母要看玩昨天看来一半的斯皮尔伯格的**。这些要求以前是做不到的。现在好了，儿子在电视机前设置了一下比赛的进度，电视台按晚半小时的进度专门为他传来橄榄球比赛。女儿在电视机前搜索到那个卡通片，在遥控器上选择了播放按钮，电视机中就开始播放她想看的卡通了。中间有几个害怕的场面，她用快进功能就跳了过去，以前她必须捂着眼睛等这些画面过去。

　父母看**时从昨天看来一半的地方开始，中间接了朋友的一个电话，他们就让**停了五分钟，五分钟后，电视台从他们中断的地方继续播放。张家已经很久没有买 DVD 了，因为它们想看的东西在互联网上都有，而且影像效果完全是**院的效果。张家接电话时，没有用现在的那种固定电话，而是用一个蓝牙耳机通过家里的网络路由器实现的。看完**后，女儿要把自己度的 100 张一千万象素的照片传到网上去和同学们共享，她只等了两分钟就完成了。

　这件事，以前想都不用想，现在由于宽带互联网的飞速发展和 VoIP 以及类似技术的出现，在十年以内应该能成为现实。当每个家庭上网的速度达到现在 DSL 的一百倍，即每秒钟 100 Mbps，那么每个家庭可以同时收看三部晰度**，每部需要 25 Mbps 的带宽，剩下来的四分之一可用于电话，浏览互联网，玩游戏，上传下传照片等等。 由于每家有自己的 IP，因此传媒公司可以根据 IP 为每个家庭提供不同的节目。由于互联网的交互性，用户可以自己控制影像节目的播放，一个**今天看不完可以明天接着看，漏掉一段新闻可以重播，一场比赛因为时间不合适可以以后补看。这些节目不需要录下来存在自己家，而是放在网络存储服务器上。

　在这样一个宽频的互联网世界里，一切通信都通过 X on IP 来实现。那么思科又将在其中扮演一个什么角色呢?首先，它现有产品的需求量会继续增长，而且，思科的一些现在市场还不大的产品比如网络存储服务器，需求量将大大增加。因为要通过互联网技术来提供家庭的服务，必须将的内容存储在本地的一些存储服务器上。

　在 VoIP 和网络上传输设备领域，思科最有可能成为这个市场的领头羊，这样它就可以在互联网浪潮之后，再次搭上宽带通信革命的浪潮。往更长远看，思科如果能走 IBM 的道路，即不断淘汰它利润低的低端产品，将市场主动让给华为等?中国制造?的公司，保守地开拓新领域的成长点，就有可能做到长盛不衰。否则，如果它一意固守现有的市场，则很难摆脱诺威格定理的宿命，将成为下一个朗讯。

;

近期经常有群友和坛友反映将FortiOS升级到4.0 MR2后经常出现利用率很高的情况，大家可以参考下面的一些建议；

1，FortiGate设备应该有足够的应对攻击 利用率最好不要超过65% get sys performance status 在65%到85%是正常的 。

2，只开启用得着的管理服务 如果不用SSH或SNMP，就不要启用,避免开放可用的端口.。

3，将用得最多或最重要的防火墙策略尽量靠前 防火墙策略是至上而下执行的。

4，只开启那些必要的流量日志 流量日志会降低系统性能。

5，只开启那些必须的应用层协议检查 应用层检查对系统性能是敏感的。

6，最小化发送系统告警信息 如果已经配置了syslog或FAZ日志,尽可能不要配置SNMP或Email告警。7，AV/IPS特征库更新间隔为4或6小时并启用允许服务器推升级。

8，精简保护内容表数量。

9，删除不必要的保护内容表。

10，精简虚拟域数量 删除不必要的虚拟域 低端设备最好不要用虚拟域。

11，如果性能显示不足就避免启用流量整形 流量整形将降低流量处理性能

如何优化防火墙内存使用率

1，尽量不启用内存日志

2，尽量不启用不必要的AV扫描协议

3，减小扫描文件的上限值，大多数带的文件文件都小于2、3M

4，删除不用的DHCP服务

5，取消不用的DNS转发服务

6，如IPS不需要，执行命令节省内存 Diag ips global all status disable

7，改变session的ttl值

set default 300 [conf sys session-ttl]

set tcp-halfclose-timer 30 [config sys global]

set tcp-halfopen-timer 20 [conf sys global]

8，改变fortiguard的ttl值

set webfilter-cache-ttl [conf sys fortiguard ]

set antispam-cache-ttl [conf sys fortiguard ]

9，改变DNS缓存的条数

set dns-cache-limit [conf sys dns]

10，不启用DNS转发

unset fwdintf [conf system dns]

上面出现的命令可查看CLI文档中相关用法