Junos firewall filter 特性,其他厂家习惯叫做ACL,它和防火墙的区别是,基于ip 包头来做过滤,不去检测tcp session的活跃性.简单来说,junos的firewall filter是基于行为而非基于状态的.

    思 科的标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式.应用比较广泛,经常在要求控制级别较低的情况下使用.如果要更加复杂的控制数 据包的传输就需要使用扩展访问控制列表了, 扩展ACL功能很强大,他可以控制源IP,目的IP,源端口,目的端口等,能实现相当精细的控制,扩展ACL不仅读取IP包头的源地址/目的地址,还要读 取第四层包头中的源端口和目的端口的IP.不过它存在一个缺点,那就是在没有硬件ACL加速的情况下,扩展ACL会消耗大量的路由器CPU资源.

    http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5b9a.shtml <<思科 access-list文档>>

    Juniper 设备处理packet filter 使用的是custom-designed internet processor ASIC,这和其他厂家的处理机制是不同的,不需要耗费大量的CPU资源.

    每一个m/t系列里都有internet processor ASIC芯片

    user@Shiraz> show chassis hardware

    Hardware inventory:

    Item             Version Part number Serial number     Description

    Chassis                   5

    Midplane         REV 03   710-002650   HF1437

    Power Supply A   Rev 04   740-002497   LK

    Display          REV 04   710-001995   HF1278

    Host                                   01 teknor

    FEB              REV 08   710-002503   AL0781           Internet Processor II

    FPC 0

    PIC 0          REV 04   750-002992   HC5418            4x F/E, 100 BASE