《防火墙技术原理PPT课件01》由会员分享,可在线阅读,更多相关《防火墙技术原理PPT课件01(78页珍藏版)》请在金锄头文库上搜索。
1、北京天融信公司北京天融信公司北京天融信公司北京天融信公司地址:北京市海淀区上地地址:北京市海淀区上地地址:北京市海淀区上地地址:北京市海淀区上地东东路路路路1 1号号号号华华控大厦控大厦控大厦控大厦3 3层层网址:网址:网址:网址:http:/http:/vv 防火防火防火防火墙墙基本概念基本概念基本概念基本概念vv 防火防火防火防火墙发墙发展展展展历历程程程程vv 防火防火防火防火墙墙核心技核心技核心技核心技术术vv防火防火防火防火墙墙功能与原理功能与原理功能与原理功能与原理vv 防火防火防火防火墙墙的接入方式的接入方式的接入方式的接入方式vv 防火防火防火防火墙墙的典型的典型的典型的典型应
2、应用用用用vv 防火防火防火防火墙墙性能性能性能性能vv 防火防火防火防火墙墙局限性局限性局限性局限性vv 防火防火防火防火墙墙的两个争的两个争的两个争的两个争议议目目录 一种高一种高级访问控制控制设备,置于不同,置于不同网网络安全域之安全域之间的一系的一系列部件的列部件的组合,它是不同网合,它是不同网络安全域安全域间通信流的通信流的唯一通道唯一通道,能根据企能根据企业有关的安全政策控制(允有关的安全政策控制(允许、拒、拒绝、监视、记录)进出网出网络的的访问行行为。两个安全域之间通信流的唯一通道安全域1Host A Host B 安全域2Host C Host D UDPBlockHost C
3、Host BTCPPassHost CHost ADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火防火墙的概念的概念vv 防火防火防火防火墙墙基本概念基本概念基本概念基本概念vv 防火防火防火防火墙发墙发展展展展历历程程程程vv 防火防火防火防火墙墙核心技核心技核心技核心技术术vv防火防火防火防火墙墙功能与原理功能与原理功能与原理功能与原理vv 防火防火防火防火墙墙的接入方式的接入方式的接入方式的接入方式vv 防火防火防火防火墙墙的典型的典型的典型的典型应应用用用用vv 防火防火防火防火墙墙性能性能性能性能vv 防火防火防火防火墙墙局限性局限
4、性局限性局限性vv 防火防火防火防火墙墙的两个争的两个争的两个争的两个争议议目目录 基于路由器的防火墙 软软件防火件防火件防火件防火墙墙的初的初的初的初级级形式,具有形式,具有形式,具有形式,具有审计审计和告警功能和告警功能和告警功能和告警功能 对对数据包的数据包的数据包的数据包的访问访问控制控制控制控制过滤过滤通通通通过专门过专门的的的的软软件件件件实现实现 与第一代防火与第一代防火与第一代防火与第一代防火墙墙相比,安全性提高了,价格降低了相比,安全性提高了,价格降低了相比,安全性提高了,价格降低了相比,安全性提高了,价格降低了 在路由器中通在路由器中通在路由器中通在路由器中通过过ACLAC
5、LACLACL规则规则来来来来实现对实现对数据包的控制;数据包的控制;数据包的控制;数据包的控制; 过滤过滤判断依据:地址、端口号、判断依据:地址、端口号、判断依据:地址、端口号、判断依据:地址、端口号、协议协议号等特征号等特征号等特征号等特征 是批量上市的是批量上市的是批量上市的是批量上市的专专用用用用软软件防火件防火件防火件防火墙产墙产品品品品 安装在通用操作系安装在通用操作系安装在通用操作系安装在通用操作系统统之上之上之上之上 安全性依靠安全性依靠安全性依靠安全性依靠软软件本身和操作系件本身和操作系件本身和操作系件本身和操作系统统本身的整体安全本身的整体安全本身的整体安全本身的整体安全
6、防火防火防火防火墙墙厂商具有操作系厂商具有操作系厂商具有操作系厂商具有操作系统统的源代的源代的源代的源代码码,并可,并可,并可,并可实现实现安全内核安全内核安全内核安全内核 功能功能功能功能强强大,安全性很高大,安全性很高大,安全性很高大,安全性很高 易于使用和管理易于使用和管理易于使用和管理易于使用和管理 是目前广泛是目前广泛是目前广泛是目前广泛应应用的防火用的防火用的防火用的防火墙产墙产品品品品基于安全操作系统的防火墙基于通用操作系统的防火墙防火墙工具套防火防火墙的的发展展历程程vv 防火防火防火防火墙墙基本概念基本概念基本概念基本概念vv 防火防火防火防火墙发墙发展展展展历历程程程程vv
7、 防火防火防火防火墙墙核心技核心技核心技核心技术术vv 防火防火防火防火墙墙体系体系体系体系结结构构构构vv 防火防火防火防火墙墙功能与原理功能与原理功能与原理功能与原理vv 防火防火防火防火墙墙的接入方式的接入方式的接入方式的接入方式vv 防火防火防火防火墙墙的典型的典型的典型的典型应应用用用用vv 防火防火防火防火墙墙性能性能性能性能vv 防火防火防火防火墙墙局限性局限性局限性局限性vv 防火防火防火防火墙墙的两个争的两个争的两个争的两个争议议目目录 1.1.1.1.包包包包过滤过滤(Packet filteringPacket filteringPacket filteringPacke
8、t filtering):):):):工作在网工作在网工作在网工作在网络层络层,仅仅根据数据包根据数据包根据数据包根据数据包头头中的中的中的中的IPIPIPIP地址、端口号、地址、端口号、地址、端口号、地址、端口号、协议类协议类型等型等型等型等标标志确定是否允志确定是否允志确定是否允志确定是否允许许数据包通数据包通数据包通数据包通过过。2.2.2.2.应应用代理(用代理(用代理(用代理(Application ProxyApplication ProxyApplication ProxyApplication Proxy):):):):工作在工作在工作在工作在应应用用用用层层,通,通,通,通过
9、编过编写不同的写不同的写不同的写不同的应应用代理程序,用代理程序,用代理程序,用代理程序,实现对应实现对应用用用用层层数据的数据的数据的数据的检测检测和分析。和分析。和分析。和分析。3.3.3.3.状状状状态检测态检测(Stateful InspectionStateful InspectionStateful InspectionStateful Inspection):工作在):工作在):工作在):工作在24242424层层,访问访问控制方式与控制方式与控制方式与控制方式与1 1 1 1同,但同,但同,但同,但处处理的理的理的理的对对象不是象不是象不是象不是单单个数据包,而是整个个数据包,
10、而是整个个数据包,而是整个个数据包,而是整个连连接,通接,通接,通接,通过规则过规则表和表和表和表和连连接接接接状状状状态态表,表,表,表,综综合判断是否允合判断是否允合判断是否允合判断是否允许许数据包通数据包通数据包通数据包通过过。4.4.4.4.完全内容完全内容完全内容完全内容检测检测(CompeleteCompeleteCompeleteCompelete Content Content Content Content InspectionInspectionInspectionInspection):工作在:工作在:工作在:工作在2 2 2 2 7 7 7 7层层,不,不,不,不仅仅分
11、析数据包分析数据包分析数据包分析数据包头头信息、状信息、状信息、状信息、状态态信息,而且信息,而且信息,而且信息,而且对应对应用用用用层协议进层协议进行行行行还还原和内容分析,有效防范混合型安全威原和内容分析,有效防范混合型安全威原和内容分析,有效防范混合型安全威原和内容分析,有效防范混合型安全威胁胁。防火防火墙的的检测与与过滤技技术应应用用用用层层传输层传输层IPIP层层网网网网络络接接接接口口口口层层DataDataSegmentSegmentPacketPacketFrameFrameBit FlowBit Flowvv 防火防火防火防火墙墙基本概念基本概念基本概念基本概念vv 防火防火
12、防火防火墙发墙发展展展展历历程程程程vv 防火防火防火防火墙墙核心技核心技核心技核心技术术vv防火防火防火防火墙墙功能与原理功能与原理功能与原理功能与原理vv 防火防火防火防火墙墙的接入方式的接入方式的接入方式的接入方式vv 防火防火防火防火墙墙的典型的典型的典型的典型应应用用用用vv 防火防火防火防火墙墙性能性能性能性能vv 防火防火防火防火墙墙局限性局限性局限性局限性vv 防火防火防火防火墙墙的两个争的两个争的两个争的两个争议议目目录 防火墙的作用集中的集中的访问控制控制集中的加密保集中的加密保护 集中的集中的认证授授权集中的内容集中的内容检查集中的病毒防集中的病毒防护集中的集中的邮件件过
13、滤集中的流量控制集中的流量控制集中的安全集中的安全审计基本功能基本功能地址地址转换访问控制控制VLAN支持支持带宽管理(管理(QoS)入侵入侵检测和攻和攻击防御防御用用户认证IP/MACIP/MAC绑定定动态IP环境支持境支持数据数据库长连接接应用支持用支持路由支持路由支持ADSL拨号功能号功能SNMPSNMP网管支持网管支持日志日志审计高可用性高可用性防火防火墙的功能的功能扩展功能展功能防病毒防病毒VPNIPSEC VPNPPTP/L2TPInternetInternet202.102.93.54Host A受保护网络Host C Host D 192.168.1.21 192.168.1.
14、25防火墙Eth2:192.168.1.23Eth0:101.211.23.1数据IP报头数据IP报头源地址:192.168.1.21目地址:202.102.93.54源地址:101.211.23.1目地址:202.102.93.54101.211.23.2v 隐藏了内部网络的结构v 内部网络可以使用私有IP地址v 公开地址不足的网络可以使用这种方式提供IP复用功能地址地址转换 (NAT)Internetv 公开服务器可以使用私有地址v 隐藏内部网络的结构WWW 199.168.1.2FTP 199.168.1.3MAIL 199.168.1.4DNS 199.168.1.5199.168.1
15、.612.4.1.5202.102.1.3MAP 199.168.1.2:80 TO 202.102.1.3:80MAP 199.168.1.3:21 TO 202.102.1.3:21MAP 199.168.1.4:53 TO 202.102.1.3:53MAP 199.168.1.5:25 TO 202.102.1.3:25http:/199.168.1.2http:/202.102.1.3MAP (地址地址/端口映射端口映射)Host C Host D 防火防火墙的基本的基本访问控制功能控制功能Access list 192.168.1.3 to 202.2.33.2Access nat
16、 192.168.3.0 to any pass Access 202.1.2.3 to 192.168.1.3 blockAccess default pass规则匹配成功匹配成功v 基于源IP地址v 基于目的IP地址v 基于源端口v 基于目的端口v 基于时间v基于用户v 基于流量v 基于文件v 基于网址v 基于MAC地址时间控制策略控制策略Host C Host D 在防火墙上制定基于时间的访问控制策略上班时间不允许访问Internet上班时间可以访问公司的网络Internet QoS带宽管理管理Internet Internet WWW WWW MailMailDNS DNS 财务财务部
17、子部子部子部子网网网网采采采采购购部子部子部子部子网网网网出口出口出口出口带宽带宽 512 512K KDMZ DMZ 区保留区保留区保留区保留 256256K K分配分配分配分配 70 70K K 带宽带宽分配分配分配分配 90 90K K 带宽带宽分配分配分配分配 96 96K K 带宽带宽DMZ DMZ 区区区区域域域域内部网内部网内部网内部网络络总带宽总带宽512 512 K K内网内网内网内网256 256 K KDMZ DMZ 256 K256 K70 70 K K90 90 K K96 96 K K+ + + +财务财务子子子子网网网网采采采采购购子子子子网网网网生生生生产产子网
18、子网子网子网生生生生产产部子部子部子部子网网网网防火墙具有内置的IDS模块,可以有效检测并抵御常见的攻击行为,用户通过简单设置即可保护指定的网络对象免于受到以下类型的攻击:1.统计型攻击,包括:Syn Flood、UDP FLOOD、ICMP FLOOD、IP SWEEP、PORT SCAN。2.异常包攻击,包括:Land、Smurf、PingofDeath、Winnuke、TcpScan、IpOption等内置入侵内置入侵检测功能功能抗抗DOS攻攻击功能功能防火防火墙的的SYN代理代理实现原理原理:v在服在服务器和外部网器和外部网络之之间部署防火部署防火墙系系统;v防火防火墙在收到客在收到客
19、户端的端的Syn包后,防火包后,防火墙代替服代替服务器向客器向客户端端发送送Syn/Ack包包;v如果防火如果防火墙收到客收到客户端的端的Ack信息,表明信息,表明访问正常正常,由防火由防火墙向服向服务器器发送送Syn包并完成后包并完成后续的的TCP握手握手,建立客建立客户端到服端到服务器的器的连接。接。v通通过这种种Syn代理技代理技术,保,保证每个每个Syn包源的真包源的真实有效性,确保虚假有效性,确保虚假请求不被求不被发往服往服务器,从而器,从而彻底防范底防范对服服务器的器的Syn-Flood攻攻击。 SYNSYNSYN/ACKSYN/ACKACKACKSYNSYNSYN/ACKSYN/
20、ACKACKACKSYNSYNSYN/ACKSYN/ACKACKACKClieClien nt tServeServer r SYNSYNSYNSYNHost C Host D Host B Host A 受保护网络InternetIDS黑客发起攻击发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等与与 IDS 的安全的安全联动 丰富的丰富的认证方式和第三方方式和第三方认证支持支持Internet Internet RADIUSRADIUS服服服服务务器器器器OTP OTP 认证认证服服服服务务器器器器liming*防火防火防火防火墙墙将将将将认认证证信息信息信息信息传
21、给传给真正的真正的真正的真正的RADIUSRADIUS服服服服务务器器器器进进行行行行认证认证将将将将认证结认证结果果果果传给传给防防防防火火火火墙墙1.1.本地本地本地本地认证认证、内置、内置、内置、内置OTPOTP服服服服务务器器器器认证认证2.2.支持第三方支持第三方支持第三方支持第三方RADIUSRADIUS服服服服务务器器器器认证认证3.3.支持支持支持支持TACAS/TACAS+TACAS/TACAS+服服服服务务器器器器认证认证4.4.支持支持支持支持S/KEY S/KEY 、SECUIDSECUID、VIECAVIECA、LDAPLDAP、域、域、域、域认证认证等等等等认证认证
22、根据根据根据根据认证结认证结果果果果决定用决定用决定用决定用户对资户对资源的源的源的源的访问权访问权限限限限InternetHost A 199.168.1.2Host B199.168.1.3Host C199.168.1.4Host D199.168.1.500-50-04-BB-71-A600-50-04-BB-71-BCBIND 199.168.1.2 To 00-50-04-BB-71-A6BIND 199.168.1.4 To 00-50-04-BB-71-BCIP与MAC地址绑定后,不允许Host B假冒Host A的IP地址上网防火墙允许Host A上网IP与与MAC(用用户)
23、的)的绑定定199.168.1.2对DHCP应用用环境的支持境的支持InternetInternetDHCP服务器Host AHost BHost CHost DHost EHost F没有固定IP地址只允许Host B上网设定Host B的MAC地址设定Host B的IP地址为空根据Host B的MAC地址进行访问控制客户机建立建立建立建立连连接并接并接并接并维维持持持持连连接状接状接状接状态态直直直直到到到到查询结查询结束束束束对数据数据库长连接的支持接的支持FRFR数据库查询一般需要比较长的时间,这些通讯连接建立成功后可能暂时没有数据通过(空连接),普通防火墙在连接建立一段时间后如果没有
24、数据通讯会自动切断连接,导致业务不能正常运行需要需要较长较长的的查查询时间询时间需要在防火需要在防火墙里面里面维护这个个连接状接状态,直到,直到查询结束。束。该功能是可功能是可选的。的。动态动态路由功能路由功能-RIP动态动态路由功能路由功能-OSPFADSL拨拨号功能号功能PPPOEHost C Host D Host B Host A 受保护网络InternetInternetInternet SNMPSNMP报报文文文文获获取硬件配置信息取硬件配置信息取硬件配置信息取硬件配置信息资资源使用状况信息源使用状况信息源使用状况信息源使用状况信息防火防火防火防火墙墙的流量信息的流量信息的流量信息
25、的流量信息防火防火防火防火墙墙的的的的连连接信息接信息接信息接信息防火防火防火防火墙墙的版本信息的版本信息的版本信息的版本信息防火防火防火防火墙墙的用的用的用的用户户信息信息信息信息防火防火防火防火墙墙的的的的规则规则信息信息信息信息防火防火防火防火墙墙的路由信息的路由信息的路由信息的路由信息SNMPSNMP服服服服务务器端器端器端器端SNMPSNMP客客客客户户端端端端( (HP HP openview)openview)支持支持SNMP 网网络管理管理 日志分析功能日志分析功能1.会会话日志日志:即普通:即普通连接日志接日志v通信源地址、目的地址、源目端口、通信通信源地址、目的地址、源目端
26、口、通信时间、通信、通信协议、字字节数、是否允数、是否允许通通过2.命令日志和内容日志命令日志和内容日志:即深度分析日志:即深度分析日志v在通信日志的基在通信日志的基础之上,之上,记录下各个下各个应用用层命令参数和内容。命令参数和内容。例如例如HTTPHTTP请求及其要取的网求及其要取的网页名。名。3.提供日志分析工具提供日志分析工具自自动产生各种生各种报表,智能化的指出网表,智能化的指出网络可能的安全漏洞可能的安全漏洞ClintClinthttp:/.chttp:/ n响响响响应请应请求求求求发发送送送送请请求求求求通信日通信日通信日通信日志志志志通信日通信日通信日通信日志志志志通信信息通信
27、信息通信信息通信信息192.168.6.16192.168.6.169 9192.168.6.17192.168.6.170 0普通普通连接日志会接日志会话日志日志ClintClinthttp:/.chttp:/ n响响响响应请应请求求求求发发送送送送请请求求求求命令日命令日命令日命令日志志志志命令日命令日命令日命令日志志志志192.168.6.16192.168.6.169 9192.168.6.17192.168.6.170 0深度分析日志深度分析日志(1) 命令日志命令日志命令信息命令信息命令信息命令信息ClintClinthttp:/.chttp:/ n响响响响应请应请求求求求发发送送
28、送送请请求求求求访问访问日日日日志志志志访问访问日日日日志志志志192.168.6.16192.168.6.169 9192.168.6.17192.168.6.170 0深度分析日志深度分析日志(2) 内容日志内容日志访问访问信息信息信息信息高可用性高可用性-双机双机热备功能功能内部网外网或者不信任域Eth 0Eth 0Eth1Eth1Eth2Eth2心跳线Active FirewallStandby Firewall检测Active Firewall的状态发现出故障,立即接管其工作 正常情况下由主防火墙工作主防火墙出故障以后,接管它的工作Hub or Hub or SwitchSwitch
29、Hub or Hub or SwitchSwitch通通通通过过ISTPISTP协议协议可可可可以交以交以交以交换换两台防火两台防火两台防火两台防火墙墙的状的状的状的状态态信息信息信息信息当一台防火当一台防火当一台防火当一台防火墙墙故障故障故障故障时时,这这台防台防台防台防火火火火墙墙的的的的连连接不需要重新建立就接不需要重新建立就接不需要重新建立就接不需要重新建立就可以透明的迁移到另一台防火可以透明的迁移到另一台防火可以透明的迁移到另一台防火可以透明的迁移到另一台防火墙墙上,用上,用上,用上,用户户不会察不会察不会察不会察觉觉到到到到丰富的链路备份功能网口单combo口口双双链路路备份份网口
30、网口双端口双端口环形形光光纤链路路备份份HAHA双机双机备份份全冗余全冗余备份份防火防火墙路由器路由器交交换机机WWW 1WWW 1 WWW 2WWW 2 WWW 3WWW 3负载负载均衡算法:均衡算法:均衡算法:均衡算法:vv轮轮流流流流vv轮轮流流流流+ +权值权值vv最少最少最少最少连连接接接接vv最少最少最少最少连连接接接接+ +权值权值http:/.chttp:/ n根据根据根据根据负载负载均衡均衡均衡均衡算法将数据重算法将数据重算法将数据重算法将数据重定位到一台定位到一台定位到一台定位到一台WWWWWW服服服服务务器器器器服服服服务务器器器器阵阵列列列列响响响响应请应请求求求求高可
31、用性高可用性-服服务器器负载均衡均衡 防火防火防火防火墙墙提供了提供了提供了提供了“ “链链路路路路备备份份份份” ”功能来功能来功能来功能来实时监视实时监视整个整个整个整个链链路的工作情况,一旦路的工作情况,一旦路的工作情况,一旦路的工作情况,一旦发现发现异常,就立即启异常,就立即启异常,就立即启异常,就立即启动动“ “链链路路路路备备份份份份” ”功能自功能自功能自功能自动动切切切切换换到另一条到另一条到另一条到另一条备备用用用用链链路,路,路,路,以确保网以确保网以确保网以确保网络络的正常通信。的正常通信。的正常通信。的正常通信。 高可用性高可用性-网网络链络链路路备备份功能份功能高可用
32、性-双系统冗余 防火防火防火防火墙墙作作作作为为网网网网络络中的关中的关中的关中的关键设备键设备,对对于于于于维护维护网网网网络络的正常通信以及安全的正常通信以及安全的正常通信以及安全的正常通信以及安全保障起着保障起着保障起着保障起着举举足足足足轻轻重的作用。所以,重的作用。所以,重的作用。所以,重的作用。所以,对对防火防火防火防火墙墙本身的有效性和可用性就本身的有效性和可用性就本身的有效性和可用性就本身的有效性和可用性就有了很高的要求。防火有了很高的要求。防火有了很高的要求。防火有了很高的要求。防火墙墙内置内置内置内置备备份系份系份系份系统统,这样这样,在主系,在主系,在主系,在主系统统出出
33、出出现现异常或异常或异常或异常或由于升由于升由于升由于升级级失失失失败败而不能正常引而不能正常引而不能正常引而不能正常引导导系系系系统统的情况下,用的情况下,用的情况下,用的情况下,用户户可以手工可以手工可以手工可以手工选择选择使用使用使用使用备备份系份系份系份系统统。 扩展功能-病毒过滤功能(1)扩展功能-病毒过滤功能(2)扩展功能- IPSEC VPN功能支持支持L2TP/PPTP VPN功能功能支持DDNS功能vv 防火防火防火防火墙墙基本概念基本概念基本概念基本概念vv 防火防火防火防火墙发墙发展展展展历历程程程程vv 防火防火防火防火墙墙核心技核心技核心技核心技术术vv 防火防火防火
34、防火墙墙体系体系体系体系结结构构构构vv 防火防火防火防火墙墙功能与原理功能与原理功能与原理功能与原理vv 防火防火防火防火墙墙的接入方式的接入方式的接入方式的接入方式vv 防火防火防火防火墙墙的典型的典型的典型的典型应应用用用用vv 防火防火防火防火墙墙性能性能性能性能vv 防火防火防火防火墙墙局限性局限性局限性局限性vv 防火防火防火防火墙墙的两个争的两个争的两个争的两个争议议目目录 受保护网络Internet如果防火墙支持透明模式,则内部网络主机的配置不用调整Host A 199.168.1.2Host C199.168.1.4Host D199.168.1.5Host B199.168
35、.1.3199.168.1.8同一网段透明模式下,这里不用配置IP地址透明模式下,这里不用配置IP地址Default Gateway=199.168.1.8防火墙相当于网桥,原网络结构没有改变透明接入透明接入受保护网络InternetHost A 199.168.1.2Host C199.168.1.4Host D199.168.1.5Host B199.168.1.3199.168.1.8Default Gateway=199.168.1.8防火墙相当于一个简单的路由器203.12.34.56203.12.34.57提供提供提供提供简单简单的路的路的路的路由功能由功能由功能由功能199.16
36、8.1.8路由接入路由接入ETH0:192.168.7.102ETH2:192.168.7.2192.168.7.0/24 网段网段192.168.7.0/24 网段网段此此时整个防火整个防火墙工作于透明工作于透明+路由模式,路由模式,我我们称之称之为综合模式或者混合模式合模式或者混合模式202.11.22.1/24 网段网段ETH1:202.11.22.2两接口在不同网段,两接口在不同网段,防火防火墙处于路由模式于路由模式两接口在不同网段,两接口在不同网段,防火防火墙处于路由模式于路由模式两接口在同一网段,两接口在同一网段,防火防火墙处于透明模式于透明模式灵活的接入方式综合接入vv 防火防火
37、防火防火墙墙基本概念基本概念基本概念基本概念vv 防火防火防火防火墙发墙发展展展展历历程程程程vv 防火防火防火防火墙墙核心技核心技核心技核心技术术vv 防火防火防火防火墙墙体系体系体系体系结结构构构构vv 防火防火防火防火墙墙功能与原理功能与原理功能与原理功能与原理vv 防火防火防火防火墙墙的接入方式的接入方式的接入方式的接入方式vv 防火防火防火防火墙墙的典型的典型的典型的典型应应用用用用vv 防火防火防火防火墙墙性能性能性能性能vv 防火防火防火防火墙墙局限性局限性局限性局限性vv 防火防火防火防火墙墙的两个争的两个争的两个争的两个争议议目目录 DDN/DDN/帧帧中中中中继继总总行行行
38、行省中支省中支省中支省中支A A省中支省中支省中支省中支B BDDN/PSTNDDN/PSTN地市行地市行地市行地市行 A A地市行地市行地市行地市行 B B防火防火墙的典型的典型应用(梯形用(梯形结构)构)总总部部部部分部分部分部分部分部分部分部分部访问访问控制控制控制控制访问访问授授授授权权信息信息信息信息审计审计访问访问控制控制控制控制访问访问授授授授权权信息信息信息信息审计审计访问访问控制控制控制控制访问访问授授授授权权信息信息信息信息审计审计防火防火墙的典型的典型应用(星型用(星型结构)构)帧帧中中中中继专继专网网网网InternetInternetDDN/PSDDN/PSTNTN内
39、部内部内部内部专专网网网网黑客攻击病毒非授权访问恶意代码阻阻阻阻断断断断防火防火墙的典型的典型应用三(用三(简单结构)构)分支网分支网分支网分支网络络vv 防火防火防火防火墙墙基本概念基本概念基本概念基本概念vv 防火防火防火防火墙发墙发展展展展历历程程程程vv 防火防火防火防火墙墙核心技核心技核心技核心技术术vv防火防火防火防火墙墙功能与原理功能与原理功能与原理功能与原理vv 防火防火防火防火墙墙的接入方式的接入方式的接入方式的接入方式vv 防火防火防火防火墙墙的典型的典型的典型的典型应应用用用用vv 防火防火防火防火墙墙性能性能性能性能vv 防火防火防火防火墙墙局限性局限性局限性局限性vv
40、 防火防火防火防火墙墙的两个争的两个争的两个争的两个争议议目目录 衡量防火衡量防火墙性能的五大指性能的五大指标1.1.吞吐量:吞吐量:吞吐量:吞吐量:该该指指指指标标直接影响网直接影响网直接影响网直接影响网络络的性能,吞吐量的性能,吞吐量的性能,吞吐量的性能,吞吐量2.2.时时延:入口延:入口延:入口延:入口处输处输入入入入帧帧最后最后最后最后1 1个比特到达至出口个比特到达至出口个比特到达至出口个比特到达至出口处输处输出出出出帧帧的第的第的第的第1 1个比个比个比个比特特特特输输出所用的出所用的出所用的出所用的时间间时间间隔隔隔隔3.3.丢丢包率:在包率:在包率:在包率:在稳态负载稳态负载下
41、,下,下,下,应应由网由网由网由网络设备传输络设备传输,但由于,但由于,但由于,但由于资资源缺乏而源缺乏而源缺乏而源缺乏而被被被被丢丢弃的弃的弃的弃的帧帧的百分比的百分比的百分比的百分比4.4.背靠背:从空背靠背:从空背靠背:从空背靠背:从空闲闲状状状状态态开始,以达到开始,以达到开始,以达到开始,以达到传输传输介介介介质质最小合法最小合法最小合法最小合法间间隔极限的隔极限的隔极限的隔极限的传输传输速率速率速率速率发发送相当数量的固定送相当数量的固定送相当数量的固定送相当数量的固定长长度的度的度的度的帧帧,当出,当出,当出,当出现现第一个第一个第一个第一个帧丢帧丢失失失失时时,发发送的送的送的
42、送的帧帧数数数数5.5.并并并并发连结发连结数:数:数:数:并并并并发连发连接数是指穿越防火接数是指穿越防火接数是指穿越防火接数是指穿越防火墙墙的主机之的主机之的主机之的主机之间间或主机与防或主机与防或主机与防或主机与防火火火火墙墙之之之之间间能同能同能同能同时时建立的最大建立的最大建立的最大建立的最大连连接数接数接数接数 吞吐量吞吐量1.1.定定定定义义:在不在不在不在不丢丢包的情况下能包的情况下能包的情况下能包的情况下能够够达到的最大速率达到的最大速率达到的最大速率达到的最大速率2.2.衡量衡量衡量衡量标标准:准:准:准:吞吐量越大,防火吞吐量越大,防火吞吐量越大,防火吞吐量越大,防火墙墙
43、的性能越高的性能越高的性能越高的性能越高 ;%#*$&*&#*(&Smartbits 6000B Smartbits 6000B 测试仪测试仪101100101000011111001010101100101000011111001010010001001000010001001000以最大速率以最大速率以最大速率以最大速率发发包包包包直到出直到出直到出直到出现丢现丢包包包包时时的的的的最大最大最大最大值值防火防火防火防火墙墙吞吐量小就会成吞吐量小就会成吞吐量小就会成吞吐量小就会成为为网网网网络络的瓶的瓶的瓶的瓶颈颈100100MM6060MM数据包首先排数据包首先排数据包首先排数据包首先排队
44、队待待待待防火防火防火防火墙检查墙检查后后后后转发转发时延延1.1.定定定定义义:入口入口入口入口处输处输入入入入帧帧最后最后最后最后1 1个比特到达至出口个比特到达至出口个比特到达至出口个比特到达至出口处输处输出出出出帧帧的第一个比特的第一个比特的第一个比特的第一个比特输输出所用的出所用的出所用的出所用的时间间时间间隔隔隔隔2.2.衡量衡量衡量衡量标标准:准:准:准:延延延延时时越小,表示防火越小,表示防火越小,表示防火越小,表示防火墙墙的性能越高的性能越高的性能越高的性能越高 1010100100100101010010010010010101001010Smartbits 6000B S
45、martbits 6000B 测试仪测试仪101100101000011111001010101100101000011111001010010001001000010001001000最后最后最后最后1 1个比特个比特个比特个比特到达到达到达到达第一个比特第一个比特第一个比特第一个比特输输出出出出时间间时间间隔隔隔隔1011010100100110111001001111110 01011010100100110111001001111110 010100100101001010100100101001000101000100010100010101010100100100101010101
46、001001001001001000100100100010造成数据造成数据造成数据造成数据包延包延包延包延迟迟到到到到达目达目达目达目标标地地地地丢包率包率1.1.定定定定义义:在在在在连续负载连续负载的情况下,防火的情况下,防火的情况下,防火的情况下,防火墙设备墙设备由于由于由于由于资资源源源源不足不足不足不足应转发应转发但却未但却未但却未但却未转发转发的的的的帧帧百分比百分比百分比百分比 2.2.衡量衡量衡量衡量标标准:准:准:准:丢丢包率越小,防火包率越小,防火包率越小,防火包率越小,防火墙墙的性能越高的性能越高的性能越高的性能越高Smartbits 6000B Smartbits 6
47、000B 测试仪测试仪发发送了送了送了送了10001000个包个包个包个包防火防火防火防火墙墙由于由于由于由于资资源不足只源不足只源不足只源不足只转发转发了了了了800800个包个包个包个包丢丢包率包率包率包率= =(1000-8001000-800)/1000=20%/1000=20%10010101001010011001010100101001000100100100010010011001010100101001100101010010100100010010010001001001背靠背背靠背1.1.定定定定义义:从空从空从空从空闲闲状状状状态态开始,以达到开始,以达到开始,以达到开
48、始,以达到传输传输介介介介质质最小合法最小合法最小合法最小合法间间隔极限的隔极限的隔极限的隔极限的传传输输速率速率速率速率发发送相当数量的固定送相当数量的固定送相当数量的固定送相当数量的固定长长度的度的度的度的帧帧,当出,当出,当出,当出现现第一个第一个第一个第一个帧丢帧丢失失失失时时,发发送的送的送的送的帧帧数。数。数。数。2.2.衡量衡量衡量衡量标标准:准:准:准:背背背背对对背包主要是指防火背包主要是指防火背包主要是指防火背包主要是指防火墙缓墙缓冲容量的大小冲容量的大小冲容量的大小冲容量的大小, ,网网网网络络上上上上经经常常常常有一些有一些有一些有一些应应用会用会用会用会产产生大量的突
49、生大量的突生大量的突生大量的突发发数据包(例如:数据包(例如:数据包(例如:数据包(例如:NFS,NFS,备备份,路由更份,路由更份,路由更份,路由更新等),而且新等),而且新等),而且新等),而且这样这样的数据包的的数据包的的数据包的的数据包的丢丢失可能会失可能会失可能会失可能会产产生更多的数据包的生更多的数据包的生更多的数据包的生更多的数据包的丢丢失,失,失,失,强强大大大大缓缓冲能力可以减小冲能力可以减小冲能力可以减小冲能力可以减小这这种突种突种突种突发对发对网网网网络络造成的影响。造成的影响。造成的影响。造成的影响。Smartbits 6000B Smartbits 6000B 测试仪
50、测试仪时间时间(t t)包数量包数量包数量包数量(n n)少量包少量包少量包少量包 包增多包增多包增多包增多峰峰峰峰值值包减少包减少包减少包减少 没有数没有数没有数没有数据据据据背靠背是体背靠背是体背靠背是体背靠背是体现现防火防火防火防火墙对墙对突突突突发发数据的数据的数据的数据的处处理能力理能力理能力理能力 并并发连接数接数1.1.定定定定义义:指数据包穿越防火指数据包穿越防火指数据包穿越防火指数据包穿越防火墙时墙时同同同同时时建立的最大建立的最大建立的最大建立的最大连连接数接数接数接数 。2.2.衡量衡量衡量衡量标标准:并准:并准:并准:并发连发连接数主要用来接数主要用来接数主要用来接数主
51、要用来测试测试防火防火防火防火墙墙建立和建立和建立和建立和维维持持持持TCPTCP连连接的接的接的接的性能,性能,性能,性能,并并并并发连发连接数越大,防火接数越大,防火接数越大,防火接数越大,防火墙墙的的的的处处理性能越高。理性能越高。理性能越高。理性能越高。并并并并发连发连接数指接数指接数指接数指标标可以用来衡可以用来衡可以用来衡可以用来衡量穿越防火量穿越防火量穿越防火量穿越防火墙时墙时同同同同时时建立的建立的建立的建立的最大最大最大最大连连接数接数接数接数并并并并发连发连接接接接并并并并发连发连接接接接vv 防火防火防火防火墙墙基本概念基本概念基本概念基本概念vv 防火防火防火防火墙发墙
52、发展展展展历历程程程程vv 防火防火防火防火墙墙核心技核心技核心技核心技术术vv 防火防火防火防火墙墙功能与原理功能与原理功能与原理功能与原理vv 防火防火防火防火墙墙的接入方式的接入方式的接入方式的接入方式vv 防火防火防火防火墙墙的典型的典型的典型的典型应应用用用用vv 防火防火防火防火墙墙性能性能性能性能vv 防火防火防火防火墙墙局限性局限性局限性局限性vv防火防火防火防火墙墙的两个争的两个争的两个争的两个争议议目目录 防火墙的局限性防火防火防火防火墙虽墙虽然是保然是保然是保然是保护护网网网网络络安全的基安全的基安全的基安全的基础础性性性性设设施,但是施,但是施,但是施,但是它它它它还还
53、存在着一些不易防范的安全威存在着一些不易防范的安全威存在着一些不易防范的安全威存在着一些不易防范的安全威胁胁: 首先防火首先防火首先防火首先防火墙墙不能防范未不能防范未不能防范未不能防范未经过经过防火防火防火防火墙墙或或或或绕过绕过防火防火防火防火墙墙的攻的攻的攻的攻击击。例如,如果允。例如,如果允。例如,如果允。例如,如果允许许从受保从受保从受保从受保护护的网的网的网的网络络内部向外内部向外内部向外内部向外拨拨号,号,号,号,一些用一些用一些用一些用户户就可能形成与就可能形成与就可能形成与就可能形成与InternetInternet的直接的直接的直接的直接连连接。接。接。接。 防火防火防火防
54、火墙墙基于数据包包基于数据包包基于数据包包基于数据包包头头信息的信息的信息的信息的检测检测阻断方式,主要阻断方式,主要阻断方式,主要阻断方式,主要对对主机提供或主机提供或主机提供或主机提供或请请求的服求的服求的服求的服务进务进行行行行访问访问控制,控制,控制,控制,无法阻断通无法阻断通无法阻断通无法阻断通过过开放端口流入的有害流量开放端口流入的有害流量开放端口流入的有害流量开放端口流入的有害流量,并不是,并不是,并不是,并不是对对蠕虫或者黑客攻蠕虫或者黑客攻蠕虫或者黑客攻蠕虫或者黑客攻击击的解决方案。的解决方案。的解决方案。的解决方案。 另外,防火另外,防火另外,防火另外,防火墙墙很很很很难难
55、防范来自于网防范来自于网防范来自于网防范来自于网络络内部的攻内部的攻内部的攻内部的攻击击或或或或滥滥用用用用。vv 防火防火防火防火墙墙基本概念基本概念基本概念基本概念vv 防火防火防火防火墙发墙发展展展展历历程程程程vv 防火防火防火防火墙墙核心技核心技核心技核心技术术vv 防火防火防火防火墙墙体系体系体系体系结结构构构构vv 防火防火防火防火墙墙功能与原理功能与原理功能与原理功能与原理vv 防火防火防火防火墙墙的接入方式的接入方式的接入方式的接入方式vv 防火防火防火防火墙墙的典型的典型的典型的典型应应用用用用vv 防火防火防火防火墙墙性能性能性能性能vv 防火防火防火防火墙墙局限性局限性
56、局限性局限性vv 防火防火防火防火墙墙的两个争的两个争的两个争的两个争议议目目录 v 防火防火防火防火墙墙的胖瘦之争的胖瘦之争的胖瘦之争的胖瘦之争v防火防火防火防火墙墙的硬件架构之争的硬件架构之争的硬件架构之争的硬件架构之争争议争议防火墙的“胖”与“瘦” 由于防火由于防火由于防火由于防火墙墙在网在网在网在网络络中所中所中所中所处处的重要位置,因此,的重要位置,因此,的重要位置,因此,的重要位置,因此,人人人人们对们对防火防火防火防火墙墙可以可以可以可以说说是寄予厚望。是寄予厚望。是寄予厚望。是寄予厚望。现现在防火在防火在防火在防火墙墙正正正正在不断增加各种各在不断增加各种各在不断增加各种各在不
57、断增加各种各样样的新功能,因此防火的新功能,因此防火的新功能,因此防火的新功能,因此防火墙墙正在正在正在正在急急急急剧剧“ “长长胖胖胖胖” ”。 “ “胖胖胖胖” ”防火防火防火防火墙墙是指功能大而全的防火是指功能大而全的防火是指功能大而全的防火是指功能大而全的防火墙墙,它力,它力,它力,它力图图将安全功能尽可能多地包含在内,从而成将安全功能尽可能多地包含在内,从而成将安全功能尽可能多地包含在内,从而成将安全功能尽可能多地包含在内,从而成为为用用用用户户网网网网络络的一个安全平台;的一个安全平台;的一个安全平台;的一个安全平台;胖防火墙的定义访问访问控制控制控制控制病毒防病毒防病毒防病毒防护
58、护入侵入侵入侵入侵检测检测交交交交换换路由路由路由路由内容内容内容内容过滤过滤信息信息信息信息审计审计传输传输加密加密加密加密其他其他其他其他胖防火胖防火胖防火胖防火墙墙胖防火墙的优势与不足优势优势: 首先是功能全首先是功能全首先是功能全首先是功能全 其次是控制力度其次是控制力度其次是控制力度其次是控制力度细细 第三是第三是第三是第三是协协作能力作能力作能力作能力强强 降低采降低采降低采降低采购购和管理成本和管理成本和管理成本和管理成本不足:不足:不足:不足: 主要表主要表主要表主要表现现在性能降低在性能降低在性能降低在性能降低 其次是自身安全性相其次是自身安全性相其次是自身安全性相其次是自身
59、安全性相对较对较弱弱弱弱 还还有有有有专业专业性不性不性不性不强强,表,表,表,表现为现为功能模功能模功能模功能模块块的拼凑的拼凑的拼凑的拼凑 第四是第四是第四是第四是稳稳定性不定性不定性不定性不强强,系,系,系,系统统越大,越大,越大,越大,BUGBUG越多越多越多越多 最后是配置复最后是配置复最后是配置复最后是配置复杂杂,不合理的配置会,不合理的配置会,不合理的配置会,不合理的配置会带带来更大的安全来更大的安全来更大的安全来更大的安全隐隐患患患患访问访问控制控制控制控制病毒防病毒防病毒防病毒防护护入侵入侵入侵入侵检测检测交交交交换换路由路由路由路由内容内容内容内容过滤过滤信息信息信息信息审
60、计审计传输传输加密加密加密加密其他其他其他其他瘦防火瘦防火瘦防火瘦防火墙墙安全安全安全安全联动联动 “ “瘦瘦瘦瘦” ”防火防火防火防火墙墙是指功能少而精的防火是指功能少而精的防火是指功能少而精的防火是指功能少而精的防火墙墙,它只作,它只作,它只作,它只作访问访问控制的控制的控制的控制的专职专职工作,工作,工作,工作,对对于于于于综综合安全解决方合安全解决方合安全解决方合安全解决方案,案,案,案,则则采用多家安全厂商采用多家安全厂商采用多家安全厂商采用多家安全厂商联联盟的方式来盟的方式来盟的方式来盟的方式来实现实现。 瘦防火墙的定义瘦防火墙的优势与不足优势: uu性能高性能高性能高性能高uu注
61、重核心功能,注重核心功能,注重核心功能,注重核心功能,专业专业性性性性强强uu整体安全性高整体安全性高整体安全性高整体安全性高uu配置配置配置配置简单简单,简简化化化化对对管理管理管理管理员员的的的的专业专业要求要求要求要求不足:不足:不足:不足:uu功能功能功能功能单单一一一一uu整体防整体防整体防整体防护护能力不能能力不能能力不能能力不能满满足需求足需求足需求足需求uu整体采整体采整体采整体采购购成本成本成本成本较较高高高高构建联动、统一的动态安全防护体系 无无无无论论是是是是“ “胖胖胖胖” ”防火防火防火防火墙墙的集成,的集成,的集成,的集成,还还是是是是“ “瘦瘦瘦瘦” ”防火防火防
62、火防火墙墙的的的的联动联动,安全,安全,安全,安全产产品正在朝着品正在朝着品正在朝着品正在朝着体系化的体系化的体系化的体系化的结结构构构构发发展,所展,所展,所展,所谓谓“ “胖瘦胖瘦胖瘦胖瘦” ”不不不不过过是是是是这这种体系种体系种体系种体系结结构的具体表构的具体表构的具体表构的具体表现现方式,方式,方式,方式,“ “胖胖胖胖” ”将将将将这这种体系表种体系表种体系表种体系表现现在一个在一个在一个在一个产产品中,而品中,而品中,而品中,而“ “瘦瘦瘦瘦” ”将将将将这这种体系表种体系表种体系表种体系表现现在一系列在一系列在一系列在一系列产产品品品品或是或是或是或是说说一个整体方案中。一个整
63、体方案中。一个整体方案中。一个整体方案中。 同同同同时时,不管哪种体系,不管哪种体系,不管哪种体系,不管哪种体系结结构,都必构,都必构,都必构,都必须须通通通通过过安全管理中心来安全管理中心来安全管理中心来安全管理中心来监监控、控、控、控、协调协调、管、管、管、管理网理网理网理网络络中的其他安全中的其他安全中的其他安全中的其他安全产产品和网品和网品和网品和网络产络产品,构建品,构建品,构建品,构建联动联动、统统一的一的一的一的动态动态安全防安全防安全防安全防护护体系。体系。体系。体系。 争议争议v 防火防火防火防火墙墙的胖瘦之争的胖瘦之争的胖瘦之争的胖瘦之争v防火防火防火防火墙墙的硬件架构之争
64、的硬件架构之争的硬件架构之争的硬件架构之争防火墙硬件架构 基于基于X86体系的通用体系的通用CPU架构架构基于网基于网络处理器的理器的NPU架构架构 基于基于专用用处理芯片的理芯片的ASIC架构架构基于X86架构的防火墙 X86X86架构防火架构防火架构防火架构防火墙墙中,其中,其中,其中,其CPUCPU具有高灵活性、高具有高灵活性、高具有高灵活性、高具有高灵活性、高扩扩展性的特性;展性的特性;展性的特性;展性的特性; 通用通用通用通用CPUCPU具有体系化的指令集和系具有体系化的指令集和系具有体系化的指令集和系具有体系化的指令集和系统结统结构,容易支持复构,容易支持复构,容易支持复构,容易支
65、持复杂杂的运算和开的运算和开的运算和开的运算和开发发新的功新的功新的功新的功能;能;能;能; 基于基于基于基于X86X86架构防火架构防火架构防火架构防火墙墙的的的的处处理速度和能力能理速度和能力能理速度和能力能理速度和能力能够够很好的适很好的适很好的适很好的适应应各种百兆网各种百兆网各种百兆网各种百兆网络环络环境和一般境和一般境和一般境和一般千兆网千兆网千兆网千兆网络环络环境的需求;境的需求;境的需求;境的需求; 基于基于基于基于X86X86防火防火防火防火墙墙由于受由于受由于受由于受CPUCPU处处理能力和理能力和理能力和理能力和PCIPCI总线总线的制的制的制的制约约,在更高的千兆,在更
66、高的千兆,在更高的千兆,在更高的千兆环环境下其境下其境下其境下其性能和功能性能和功能性能和功能性能和功能则则日益不能日益不能日益不能日益不能满满足于需求;足于需求;足于需求;足于需求;硬件平台技术分析-x86基于X86的平台主要提供商Intel ,AMD特点:特点: 软件开件开发比比较灵活灵活 便于快速推出便于快速推出产品品 投投资少少发热比比较大大受受总线带宽的限制的限制 难以以满足高速足高速环境境 硬件平台技术分析-其他嵌入式基于其他 嵌入的平台包括Power PC 、ARM、MIPS特点:特点: 产品品稳定定 低功耗,低成本低功耗,低成本 软件比件比较灵活灵活开开发环境需要投境需要投资受
67、受总线带宽的限制的限制 网网网网络处络处理器理器理器理器NPUNPU则则是是是是专门为处专门为处理数据包而理数据包而理数据包而理数据包而设计设计的可的可的可的可编编程程程程处处理器,同理器,同理器,同理器,同时时,其硬件体系,其硬件体系,其硬件体系,其硬件体系结结构的构的构的构的设计设计大多采用高速的接口技大多采用高速的接口技大多采用高速的接口技大多采用高速的接口技术术和和和和总线规总线规范,具有范,具有范,具有范,具有较较高的高的高的高的I/OI/O能力;能力;能力;能力; NPNP架构防火架构防火架构防火架构防火墙墙采用的是微引擎采用的是微引擎采用的是微引擎采用的是微引擎编编程,程,程,程
68、,在它的每一个网口上都有一个网在它的每一个网口上都有一个网在它的每一个网口上都有一个网在它的每一个网口上都有一个网络处络处理器(理器(理器(理器(NPUNPU),),),),具有很具有很具有很具有很强强的的的的编编程灵活性,是一个高度整合的,可程灵活性,是一个高度整合的,可程灵活性,是一个高度整合的,可程灵活性,是一个高度整合的,可编编程的数据程的数据程的数据程的数据处处理器。理器。理器。理器。因此,因此,因此,因此,NPNP架构架构架构架构实质实质是以是以是以是以软软件件件件编码编码方式方式方式方式处处理来自各个网口的数据理来自各个网口的数据理来自各个网口的数据理来自各个网口的数据转发转发。
69、 在在在在实际编码实际编码中,微引擎中,微引擎中,微引擎中,微引擎编编程程程程难难度是比度是比度是比度是比较较大的,需要根据大的,需要根据大的,需要根据大的,需要根据实实践践践践经验经验不断的不断的不断的不断的总结总结。一般来。一般来。一般来。一般来说说,通通通通过过微微微微码码(微引擎)仿真便可以(微引擎)仿真便可以(微引擎)仿真便可以(微引擎)仿真便可以发现发现和定位大多数和定位大多数和定位大多数和定位大多数问题问题,但是,但是,但是,但是这这种仿真与硬件仿真种仿真与硬件仿真种仿真与硬件仿真种仿真与硬件仿真还还是有是有是有是有很大的区很大的区很大的区很大的区别别的,最的,最的,最的,最终终
70、也会也会也会也会导导致致致致NPNP防火防火防火防火墙产墙产品品品品综综合成本合成本合成本合成本较较高,高,高,高,稳稳定性开定性开定性开定性开发发周期周期周期周期长长,相比之相比之相比之相比之下,其成熟性下,其成熟性下,其成熟性下,其成熟性远远不及不及不及不及ASICASIC和和和和Intel IA Intel IA 架构。架构。架构。架构。 基于基于NPU架构的防火架构的防火墙硬件平台技术分析-NPU基于NPU的平台提供厂家 Marvell(Intel)、HIFN(IBM)、AMCC、Broadcom特点:特点: 能能获得比得比较高的性能高的性能 产品品稳定定 有一定的灵活性有一定的灵活性
71、灵活性不高灵活性不高软件开件开发难度大度大基于ASIC架构的防火墙 基基基基于于于于ASICASIC专专用用用用芯芯芯芯片片片片架架架架构构构构的的的的防防防防火火火火墙墙,通通通通过过专专用用用用数数数数据据据据处处理理理理芯芯芯芯片片片片来来来来工工工工作作作作,是是是是公公公公认认的千兆的千兆的千兆的千兆线线速防火速防火速防火速防火墙墙,特,特,特,特别别适用于高端千兆网适用于高端千兆网适用于高端千兆网适用于高端千兆网络环络环境下境下境下境下。 传传统统的的的的ASICASIC芯芯芯芯片片片片技技技技术术的的的的最最最最大大大大不不不不足足足足就就就就是是是是缺缺缺缺乏乏乏乏灵灵灵灵活活
72、活活性性性性,开开开开发发难难度度度度大大大大。一一一一旦旦旦旦指指指指令令令令或或或或计计算算算算逻逻辑辑固固固固化化化化到到到到硬硬硬硬件件件件中中中中,就就就就很很很很难难修修修修改改改改升升升升级级、增增增增加加加加新新新新的的的的功功功功能能能能。而而而而且,且,且,且,ASICASIC设计设计和制造周期和制造周期和制造周期和制造周期长长,研,研,研,研发费发费用高用高用高用高。 现现代代代代的的的的ASICASIC芯芯芯芯片片片片技技技技术术增增增增加加加加了了了了可可可可编编程程程程性性性性,从从从从而而而而能能能能够够同同同同时时满满足足足足灵灵灵灵活活活活性性性性和和和和高高
73、高高性性性性能能能能的的的的要要要要求求求求。从从从从实实现现功功功功能能能能方方方方面面面面看看看看,ASICASIC防防防防火火火火墙墙可可可可以以以以很很很很容容容容易易易易地地地地集集集集成成成成VPNVPN、内容、内容、内容、内容过滤过滤和防病毒等功能。和防病毒等功能。和防病毒等功能。和防病毒等功能。硬件平台技术分析-ASIC基于ASIC的平台采用厂家 Netscreen、Fortinet特点:特点: 性价比比性价比比较高高 产品品稳定定 可以可以满足高性能要求足高性能要求灵活性不高灵活性不高投投资非常大非常大 门槛高高 TG4628零零丢包率包率天融信TopASIC处理器传统架构发送送接接收收发送送接接收收发送送接接收收最佳最佳最佳最佳组组合:合:合:合: 在系在系在系在系统统控制与管理、数据高速控制与管理、数据高速控制与管理、数据高速控制与管理、数据高速处处理理理理转发转发等方面,通用等方面,通用等方面,通用等方面,通用CPUCPU和可和可和可和可编编程程程程ASICASIC将各司其将各司其将各司其将各司其职职,共同,共同,共同,共同为为防火防火防火防火墙墙系系系系统统提供灵活的服提供灵活的服提供灵活的服提供灵活的服务务!防火防火墙硬件架构的硬件架构的发展展趋势
