防火墙具有专用的安全操作系统，基于完善的体系结构设计将实时操作系统、网络处理、安全应用等技术结合，具有高效、智能、安全、易扩展等特点。

防火墙系统平台面向网络吞吐和安全处理，采用基于组件的多平面架构，整个系统分为控制平面、数据平面、系统服务平面和硬件抽象平面。通过控制平面和数据平面的分离，集中主要资源于网络吞吐和安全处理，使系统具有极强的实时性和网络吞吐能力。防火墙系统平台将系统功能与资源管理分别工作在不同平面，各平面和模块之间共同遵循标准接口函数，系统具有高度灵活性和可扩展性。

系统通过将硬件驱动与资源管理独立为一个单独的硬件抽象平面模块，对上层软件提供统一调用接口，对下层硬件统一定义驱动标准，适应多种不同规格的硬件架构，实现与多种专用芯片的无缝融合，可充分利用从IXP，PowerPC到NP、多核多线程CPU、内容加速芯片等各种先进硬件平台的优势。

防火墙系统使用高效的整合内容引擎，将状态包过滤、VPN、IDS、内容过滤、用户认证等子系统集成于单一平台，构造统一架构，如图2-4-2所示。综合并优化各子系统，去除冗余，简化数据处理流程，实现统一的安全引擎处理机制。

整合内容引擎克服传统各个引擎独自为战的缺点，通过高效的引擎集成技术将各个安全功能有机整合为一体，状态检测、协议分析机、深度过滤、内容检测等引擎协同工作，对于监测的数据包一次性拆包即可完成2～7层的检测，同时采用基于摘要索引的内容处理加速算法，有效提高了引擎的处理效率。

防火墙在现代网络应用环境中需通过创新的多重冗余协议，在物理层、链路层、网络层、实体层等多个层面实现多元化冗余设计，有效保障防火墙在用户网络应用中的高可用性。

链路层支持多WAN口出口，实现多出口间的负载均衡和备份，任何一条链路的故障瘫痪不影响网络的正常运行。

物理端口支持802. 3ad标准，可实现多物理端口聚合，帮助用户做到零投资的带宽倍增。

主系统发生故障或对应线路的网络故障时，备份机可自动检测并切换到主状态，接管主系统工作，切换时间小于1秒。

支持主动负载均衡、会话保护和接管以及主动配置同步等功能，尤其是采用国内首创的状态增量同步技术解决多台防火墙之间的状态一致性问题，实现业务在多台防火墙之间的平滑任意分布和切换，解决了采用VRRP协议和动态路由协议带来的业务续断问题。

防火墙正逐步支持IPv6环境下的状态包过滤、静态路由、OSPF动态路由、FTP、ALG等基本安全控制，以及IPv6/IPv4双协议栈功能同时设备在同一信息安全网络中同时支持IPv4和IPv6协议的安全控制。

VPN是指在公用网络上建立专用网络并进行加密通信，在专用网络中有广泛应用。VPN极大地降低了用户的费用，同时提供了比传统方法更强的安全性和可扩展性。VPN可通过服务器、硬件、软件等多种方式实现。VPN具有成本低、易使用等特点。

NAT是将IP数据包头中IP地址转换为另一个IP地址的过程，NAT主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP地址代表较多的私有IP地址的方式，将有助于减缓可用IP地址空间的枯竭。

NAT实现方式有静态转换（static nat）、动态转换（dynamic nat）和端口多路复用等，目前网络中应用最多的是端口多路复用方式。

高可用性群集（high available，HA）是保证业务连续性的有效解决方案，一般有两个或两个以上的节点，且分为活动节点及备用节点。通常把正在执行业务的称为活动节点，而作为活动节点的一个备份的则称为备用节点。当活动节点出现问题，导致正在运行的业务（任务）不能正常运行时，备用节点将侦测到并立即接续活动节点执行业务，实现业务的不中断或短暂中断。HA有防火墙的双机系统、VRRP系统，防火墙集群系统等多种实现方式。