防火墙解决方案
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇防火墙解决方案范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
防火墙解决方案范文第1篇
这是McAfee自2010年以768万美元被英特尔收购以来最大的一笔交易。
此次要约收购交易已经获得了Stonesoft公司CEO Ilkka Hiidenheimo、主席Hannu Turunen,及一名董事会成员(共持有Stonesoft 34.7%股权)的同意。Stonesoft的董事会,亦建议其他股东支持该方案。
赫尔辛基调查机构Inderes Oy的分析师米克尔·拉塔尼表示:“正如你经常听到有些企业的网站被入侵,网络安全的大趋势从未展现出放缓的迹象。而Stonesoft有潜力看到这强劲的增长,因此这对英特尔来说是一项不错的交易。而此次交易提出的价格对Stonesoft的股东而言也是一项非常好的交易。”
总部位于赫尔辛基的Stonesoft为企业客户提供一系列的安全解决方案,包括下一代防火墙,规避防御系统以及SSL VPN解决方案,帮助企业免遭网络安全威胁。它通过软件、硬件和虚拟设备提供军事级别的防火墙。研究公司Gartner最近的安全报告授予该公司“有远见的企业”称号。该公司提供行业内最完整的安全解决方案,这也是吸引迈克菲的主要原因。
英特尔网络安全部的高级副总裁兼总经理派特·卡尔霍恩在他的博客中写道:“McAfee已经设计生产出了高安全度的防火墙,为全球包括政府机构在内的最重要的网络提供防护。此次收购,我非常有信心,我们将为下一代防火墙提供最先进的技术,Stonesoft的技术能够满足一个全新的、巨大的企业细分市场的需求。”
卡尔霍恩还说:“有了英特尔的支持,我们现在提供两种领先的防火墙解决方案,这将是我们安全连接战略中至关重要的一个层级。此次对Stonesoft的投资也将允许我们将我们的资源集中在我们IPS平台的开发上,使之能够成为市场领先的解决方案,帮助企业抵御绝大多数复杂且高级的威胁。将IPS和防火墙与我们领先的威胁智能感知系统、解决威胁专家,以及领先的网络和邮件保护解决方案结合在一起,McAfee必将在网络安全领域处于领先地位。”
防火墙解决方案范文第2篇
传统的防火墙通常是基于访问控制列表(ACL)进行包过滤的,位于在内部专用网的入口处,所以也俗称“边界防火墙”。随着防火墙技术的发展,防火墙技术也得到了发展,出现了一些新的防火墙技术,如电路级网关技术、应用网关技术和动态包过滤技术,在实际运用中,这些技术差别非常大,有的工作在OSI参考模式的网络层,有的工作在传输层,还有的工作在应用层。
在这些已出现的防火墙技术中,静态包过滤是最差的安全解决方案,其应用存在着一些不可克服的限制,最明显的表现就是不能检测出基于用户身份的地址欺骗型数据包,并且很容易受到诸如DOS(拒绝服务)、IP地址欺诈等黑客攻击。现在已基本上没有防火墙厂商单独使用这种技术。应用层网关和电路级网关是比较好的安全解决方案,它们在应用层检查数据包。但是,我们不可能对每一个应用都运行这样一个服务器,而且部分应用网关技术还要求客户端安装有特殊的软件。这两种解决方案在性能上也有很大的不足之处。动态包过滤是基于连接状态对数据包进行检查,由于动态包过滤解决了静态包过滤的安全限制,并且比技术在性能上有了很大的改善,因而目前大多数防火墙厂商都采用这种技术。但是随着主动攻击的增多,状态包过滤技术也面临着巨大的挑战,更需要其它新技术的辅助。
技术发展趋势
随着新的网络攻击的出现,防火墙技术也有一些新的发展趋势。这主要可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来体现。
防火墙包过滤技术发展趋势。一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的安全策略功能。
多级过滤技术。所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段。在分组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的IP源地址;在传输层一级,遵循过滤规则,过滤掉所有禁止出和入的协议和有害数据包如nuke包、圣诞树包等;在应用网关(应用层)一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术,它可以弥补以上各种单独过滤技术的不足。
使防火墙具有病毒防护功能。现在通常被称之为“病毒防火墙”,当然目前主要还是在个人防火墙中体现,因为它是纯软件形式,更容易实现。这种防火墙技术可以有效地防止病毒在网络中的传播,比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少公司的损失。
防火墙的体系结构发展趋势
随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外,在以后几年里,多媒体应用将会越来越普遍,它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要,一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙的性能好许多。
与基于ASIC的纯硬件防火墙相比,基于网络处理器的防火墙具有软件色彩,因而更加具有灵活性。基于ASIC的防火墙使用专门的硬件处理网络数据流,比起前两种类型的防火墙具有更好的性能。但是纯硬件的ASIC防火墙缺乏可编程性,这就使得它缺乏灵活性,从而跟不上防火墙功能的快速发展。理想的解决方案是增加ASIC芯片的可编程性,使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。
防火墙的系统管理发展趋势
防火墙的系统管理也有一些发展趋势,主要体现在以下几个方面:首先是集中式管理,分布式和分层的安全结构是将来的趋势。集中式管理可以降低管理成本,并保证在大型网络中安全策略的一致性。快速响应和快速防御也要求采用集中式管理系统。目前这种分布式防火墙早已在Cisco(思科)、3Com等大的网络设备开发商中开发成功,也就是目前所称的“分布式防火墙”和“嵌入式防火墙”。
强大的审计功能和自动日志分析功能。这两点的应用可以更早地发现潜在的威胁并预防攻击的发生。
网络安全产品的系统化
随着网络安全技术的发展,现在有一种提法,叫做“建立以防火墙为核心的网络安全体系”。因为我们在现实中发现,仅现有的防火墙技术难以满足当前网络安全需求。通过建立一个以防火墙为核心的安全体系,就可以为内部网络系统部署多道安全防线,各种安全技术各司其职,从各方面防御外来入侵。如现在的IDS设备就能很好地与防火墙一起联合。
目前主要有两种解决办法:一种是直接把IDS、病毒检测部分直接“做”到防火墙中,使防火墙具有IDS和病毒检测设备的功能;另一种是各个产品分立,通过某种通讯方式形成一个整体,一旦发现安全事件,则立即通知防火墙,由防火墙完成过滤和报告。目前更看重后一种方案,因为它实现方式较前一种容易许多。
分布式防火墙技术
分布式防火墙的主要特点。综合起来这种新的防火墙技术具有以下几个主要特点:主机驻留、嵌入操作系统内核、类似于个人防火墙。其次,不同于个人防火墙是单纯的直接面向个人用户,针对桌面应用的主机防火墙是面向企业级客户的,它与分布式防火墙其它产品共同构成一个企业级应用方案,形成一个安全策略中心统一管理,所以它在一定程度上也面对整个网络。它是整个安全防护系统中不可分割的一部分,整个系统的安全检查机制分散布置在整个分布式防火墙体系中。
分布式防火墙的主要优势。在新的安全体系结构下,分布式防火墙代表新一代防火墙技术的潮流,它可以在网络的任何交界和节点处设置屏障,从而形成了一个多层次、多协议,内外皆防的全方位安全体系。主要优势如下:增强的系统安全性、提高了系统性能、系统的扩展性、实施主机策略、应用更为广泛,支持VPN通信。
分布式防火墙的主要功能
分布式防火墙的特点和优势,那么到底这种防火墙具备哪些功能呢?因为采用了软件形式(有的采用了“软件+硬件”形式),所以功能配置更加灵活,具备充分的智能管理能力,总的来说可以体现在以下几个方面:
Internet访问控制。依据工作站名称、设备指纹等属性,使用“Internet访问规则”,控制该工作站或工作站组在指定的时间段内是否允许/禁止访问模板或网址列表中所规定的Internet Web服务器,某个用户可否基于某工作站访问www服务器,同时当某个工作站/用户达到规定流量后确定是否断网。
应用访问控制。通过对网络通讯从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测,控制来自局域网/Internet的应用服务请求,如SQL数据库访问、IPX协议访问等。
网络状态监控。实时动态报告当前网络中所有的用户登陆、Internet访问、内网访问、网络入侵事件等信息。
黑客攻击的防御。抵御包括Smurf拒绝服务攻击、ARP欺骗式攻击、Ping攻击、Trojan木马攻击等在内的近百种来自网络内部以及来自Internet的黑客攻击手段。
防火墙解决方案范文第3篇
今年已经是华为连续第五年参展RSA大会,五年的参展经历折射了华为安全的快速成长历程,从一名初出茅庐的新手到挑动着安全巨头神经的领先安全企业,华为羽翼渐丰,在安全领域获得越来越多的话语权和关注。
在今年的RSA大会上,华为的防火墙产品获得NSS实验室下一代防火墙NGFW最高级评价,即“推荐级”,同时和FireMon签署合作备忘录,倡导产业链共建安全生态圈。
2015年,是全球信息安全产业飞速发展和变化的一年。这一年,安全市场总体空间超过90亿美元,产业链竞争格局加剧,与此同时,安全采购方式、覆盖领域、专业能力都在发生变化。
那么RSA2016大会又向我们传递了哪些最新的安全领域发展趋势呢?亲临现场的IDC信息安全市场研究经理王培向《通信产业报》(网)表示,今年RSA大会将主题定为“Connect to protect”,便是希望所有的安全厂商、安全团队团结在一起,用联合的力量保护大家的信息网络安全。
的确如此,网络攻击变得越来越复杂,单一厂商无法完全解决。特别身处大数据时代,单点的智慧已经不足以引发变革,安全界需要运用集体智慧来守护业务。
“在今年的RSA大会上,我们深刻地感受到,合作、联盟、情报共享已经成为主流安全厂商的必然选择。”华为安全领域分析师陆昆仑向记者表示。
他补充说道:“特别是在移动安全和云服务两个市场中,每个厂商只做自己最擅长的一部分,将它们整合到一起才能够给客户提供更加全面的解决方案。所以,我一直认为协作是非常重要的。”
目前,在国外市场,不少厂商已经展开协作。以美国的三家安全企业举例,FireEye只做单一的安全产品用于抵御APT攻击;PaloAlto则专注下一代防火墙的研发;Splunk则擅长利用大数据形成安全威胁分析模型,三家企业开展协作,整合产品形成完整的解决方案提供给客户。“他们的宗旨是寻找合作伙伴去帮助用户解决问题。”王培向记者表示。
不过,王培向记者坦承,目前国内安全厂商对协作态度还是比较排斥的,更多的做法是为用户提供一体化解决方案,他们的目标也很明确,保持用户黏性。
青松智慧北京科技有限公司创始人兼CEO孙大伟向记者表达了同样的观点:“中国和国外的安全产业情况完全两重天。受制于国内政策和生态环境所限,安全厂商之间的竞争日益激烈,甚至拼得头破血流。但是,云计算和互联网已经将传统的安全边界打破,协作和共享是国内安全厂商必须走的一条道路。”
在这方面,华为为国内厂商做出了表率。去年,华为提出建立“云清联盟”,该联盟的宗旨是将全球运营商、安全服务提供商、IDC的资源进行整合,构成一个云端的“DDoS防御生态系统”,统一进行管理和调度,以“近源清洗”彻底解决DDoS攻击问题。青松智慧便是这一联盟的成员之一。
而在RSA2016大会上,华为又与FireMon公司签署了合作备忘录,共同宣布在全球范围内提供华为NGFW防火墙策略管理联合解决方案,帮助广大用户高效管理华为NGFW防火墙策略,降低运维成本。
长期以来,IT运维人员在防火墙管理方面的压力很大,策略管理普遍存在低效不准确的情况。
通过双方的联合解决方案,用户将可以使用FireMon的解决方案方便、高效地管理华为所有防火墙的安全策略。
这一合作不仅是华为倡导安全生态圈建设的最新行动,也是华为企业业务“被集成”战略的又一具体表现。
防火墙解决方案范文第4篇
【关键词】办公网;技术网;防火墙;隔离
1.概述
1.1 当前网络状况
随着广播发射电台网络建设的发展,电台的业务需求也呈现多样化,台站网络按照规划一般分为两个网段:办公(OA)网和技术网。在现有的网络中,以一台H3C S5500交换机作为电台办公网的核心交换机,办公网通过H3C S5500上联MSR3020路由器,通过MSR3020接入全局广域网,H3C S5500与MSR3020之间采用Eudemon 200防火墙隔离。
技术网以一台三层交换机H3C S5500为核心,接入采用二层方式连接。改造之前办公网与技术网之间没有添加隔离设备,物理直接相连,通过静态路由协议互通。如图1所示。
图1 网络连接示意图
1.2 办公网与技术网隔离的背景
1.2.1 网络潜在威胁
由于计算机网络的发展,信息系统的不安全因素陡然增加。网络的不安全因素主要表现为下列几个方面:[1]
物理临近攻击。
内部犯罪。
信息泄露。
重放攻击。
篡改和破坏。
恶意程序的攻击。
系统脆弱性攻击。
网络安全隐患是全方位的,软件,硬件,人为等因素都会造成网络的故障,甚至是不可挽回的损失。我们现在需解决的是电台办公网与技术网的隔离问题,也就是说要保证办公网即使出现计算机病毒,恶意代码等也不会波及到技术网。反之技术网的安全威胁也不会波及到办公网。
1.2.2 隔离原因
在改造之前的运行环境中,技术网和办公网之间是通过静态路由互通的,两网之间没有任何的隔离措施。
根据无线电台管理局内网网络建设的要求,办公网和技术网的安全级别是不一样的。技术网主要部署安全播出服务器和控制终端,安全级别要求更高,技术网的网段地址不对外,只在台站内有效;办公网网段是全局广域网的,局机关与台站以及各台站之间都可以互访。因此为了保证网络安全,在办公网和技术网之间须要增加安全隔离措施,以尽量避免或减少病毒、攻击等网络威胁对技术网造成影响。
在两网之间,办公网用户与技术网用户不需要进行数据交换,办公网服务器与技术网服务器分别设有一台应用服务器实现数据库数据同步。因此,安全隔离措施将全部禁止办公网与技术网中其余用户和服务器的数据交换,只允许办公网应用服务器(即办公网通讯服务器,例如IP为10.2.72.149)和技术网应用服务器(即技术网通讯服务器,例如IP为172.1.72.5)之间进行数据传递。
2.隔离方案对比
根据电台办公网与技术网现状和需求,我们提出以下四种网络隔离解决方案:
2.1 物理隔离
物理隔离是一种完全断开物理上连接的方式,使得办公网和技术网相互不连通。在办公网需要提取技术网相关数据时,通过移动存储介质进行传输。这种方式的优点在于只要保证了存储介质和对技术网进行访问的相关人员的安全,就保证了技术网的绝对安全。
但是由于办公网需要读取的不仅仅是数据库中存储的数据,还包括服务器里实时变动的相应数据,所以采取此方式得到的数据都存在相当大的延迟,从某种程度上讲,得到的数据已经“失效”。
2.2 访问控制列表
为了过滤通过网络设备的数据包,需要配置一系列的匹配规则,以识别需要过滤的对象。在识别出特定的对象之后,网络设备才能根据预先设定的策略允许或禁止相应的数据包通过,访问控制列表(Access Control List,ACL)就是用来实现这些功能。ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。ACL应用在交换机全局或端口,交换机根据ACL中指定的条件来检测数据包,从而决定是转发还是丢弃该数据包。由ACL定义的数据包匹配规则,还可以在其它需要对流量进行区分。
优点:此方案不需要添加任何隔离设备。仅需要在核心交换机上设置ACL,只允许指定的办公网服务器访问技术网服务器,禁止其余用户访问,配置灵活,维护方便。
缺点:对病毒和网络攻击的防御作用较小。
2.3 多功能安全网关
在办公网和技术网之间增加多功能安全网关设备,隔离办公网和技术网。
多功能安全网关工作模式为路由模式,采用静态路由方式。增加包过滤规则,对匹配办公网通讯服务器和技术网通讯服务器的网络流量允许通过,其余流量禁止通过,同时利用访问控制列表过滤病毒端口。
优点:功能强大,整合了防病毒、IDS、IPS、防火墙等功能,降低技术复杂度。
缺点:不能有效防范内部攻击,过度集成造成误判率较高,降低了系统的可用性和稳定性。
2.4 防火墙
在办公网和技术网之间增加防火墙设备,隔离办公网和技术网。
防火墙配置路由模式,采用静态路由方式。同时,采用两种隔离规则:
(1)增加包过滤规则,对匹配办公网通讯服务器和技术网通讯服务器的网络流量允许通过,其余流量禁止通过,同时利用访问控制类别过滤病毒端口。
(2)通过NAT方式,对外隐藏技术网应用服务器地址,把该IP地址转换成一个其他地址,转换后办公网中只能看到防火墙转换后的地址,而无法看到原始IP地址,增强了安全性。
优点:性价比高,配置灵活,维护方便,安全性高。
缺点:功能较为单一,不能有效防范内部攻击和未设置策略的攻击漏洞。
2.5 方案对比和选择
为了提供最佳的解决方案,我们需要针对电台网络进行综合的分析,权衡利弊,才能提出一个理想的解决方案。
电台办公网与技术网之间数据流量并不大,办公网用户与办公网用户之间除了特定的应用服务器都没有数据交换的需要。但是数据交换具有偶然性、实时性的要求,除了读取数据库中保存的数据,还需要读中间件服务器中的实时变化的数据。综合考虑办公网与技术网的使用现状、流量、数据交换要求、经济性以及安全特性等因素,以上4种解决方案中我们建议采取第四种解决方案,即采用防火墙作为两网间的隔离设备,以达到安全防护的目的。
主要原因如下:
(1)物理隔离方式因为没有直接的物理连接最为安全,但其提供的数据交换不能够满足对技术网数据提取的要求。
(2)访问控制列表过于简单,只能单纯地过滤数据报,不能对报文作深度的监测分析,没有防病毒、抗攻击能力。
(3)多功能安全网关,具备强大的防火墙功能,安全性较高,但价格昂贵,配置复杂,过度集成造成性能下降,误判率高,增加了配置和维护的复杂性。
(4)防火墙功能强大,传输效率高,安全性较高,可对数据报进行深度的监测分析,具有抗病毒、抗攻击能力。
3.防火墙隔离详细设置
3.1 防火墙工作模式
针对电台站办公网与技术网现状,防火墙采用路由模式工作,因为只有采用这种工作模式才可以利用NAT技术进(下转第169页)(上接第165页)行地址转换,实现隐藏技术网地址的目的。
在路由模式下,防火墙必须设置接口IP地址。它除了具备路由器的数据包转发功能外,同时解析所有通过它的数据包,增强网络安全性。见图2所示。
图2 防火墙隔离示意图
3.2 IP地址和路由协议使用
防火墙采用路由模式时与之连接的接口必须配置IP地址,防火墙采用静态路由协议与办公网和技术网互通。
接口地址表如下:
办公交换机S5500,端口为GE0/0/19,IP地址为10.2.72.17;
防火墙,端口为GE0,IP地址为10.2. 72.18,端口为GE1,IP地址为10.2.72.21;
技术交换机S5500,端口为E1/0/2,IP地址为10.2.72.22。
NAT地址表:内部地址为172.1.72.5;外部地址为10.2.72.120/29
参照接口地址表和NAT的地址表,路由协议配置规则如下:
(1)技术网核心交换机S5500配置静态路由,规则配置为:去往目标网络地址10.2. 72.149,下一跳地址为10.2.72.21。
(2)防火墙配置静态路由,规则配置为:去往目标网络地址172.1.72.5,下一跳地址为10.2.72.22;去往目标网络地址10.2. 72.149,下一跳地址为10.2.72.17。同时,设置NAT地址池将地址为172.1.72.5放置在地址池中,转换成地址为10.2.72.120/29绑定在出方向GE1接口,设置global地址10.2.72.121转换成inside地址172.1.72.5。
(3)办公网核心交换机S5500设置静态路由,规则配置为:去往目标网络地址10.2. 72.120,下一跳地址为10.2.72.18。
3.3 NAT配置
在本防火墙设置中,可以把技术网看作一个内部网络。
NAT就是在技术网中使用内部地址,而当技术网节点要与办公网节点进行通讯时,就在防火墙处将技术网地址替换成一个另外的地址。
通过这种方法,NAT对外屏蔽了技术网网络,所有技术网计算机对于办公网来说是不可见的,而技术网计算机用户通常不会意识到NAT的存在。
在这次改造过程中,我们可在防火墙上配置NAT,针对技术网配置地址转换,技术网应用服务器,IP地址为172.1.72.5,可以看作是内部地址,通过地址转换,转换成IP地址为10.2.72.121的全局地址。
对于办公网来说,办公网只知道技术网应用服务器转换的地址,而不知道真实的地址,这就提高了网络安全性,确保了技术网内服务器的保密性,隐藏了技术网内真实的IP地址。
以上设置能够保证技术网服务器正常访问办公网服务器,同时办公网服务器也能正常访问技术网服务器,而办公网中只知道去往地址的路由,并不会知道技术网服务器的存在,这样就利用防火墙保证了办公网和技术网的安全性和独立性。
4.结论
办公网和技术网隔离的改造完成之后,保障了办公网用户终端安全的使用,技术网应用系统可靠稳定的运行,对电台网络安全建设发挥了巨大的作用,为电台的安全播出工作做出了重要的贡献。
参考文献
防火墙解决方案范文第5篇
防火墙功能和性能的矛盾一直是困扰信息安全产品的问题,也是最被用户诟病之处。解决方法只有一个,那就是寻求新的硬件之道。
好在硬件技术在不断发展,多核技术的出现让厂商们看到了新曙光。目前,市面上除了传统的x86、NP和ASIC架构的防火墙外,又出现了一个新的防火墙设计――多核防火墙。那么,多核与以往传统的x86、NP、ASIC架构相比有何特色?人们该如何选择不同的架构?近日,在神州数码网络公司推出首款多核防火墙――终结者多业务网关2.0之际,记者采访了神州数码网络公司技术总监杨海涛。
x86性能最多只能达到2Gbps
长久以来,国内许多安全厂商的防火墙产品都采用基于x86的架构,而国外厂商的多数防火墙则采用ASIC架构。几年前,随着技术的更新换代,随着网络处理器(NP)技术的兴起,为了赶超国际上的先进水平,弥补国内防火墙性能上的不足,很多国内厂商开始采用“NP+ASIC”的架构。
x86架构是一种通用的“CPU+Linux”操作系统的架构。其处理机制是,数据从网卡到CPU之间的传输是依靠“中断”实现,这导致了不可逾越的性能瓶颈,尤其在传送小包的情况下(如64 Bytes的小包),数据包的通过率只能达到30%~40%左右,并且它的设计是必须依靠CPU计算,因此,很占CPU资源,这也是为什么x86防火墙性能上不去的原因。
虽然Intel提出了解决方案,将32位的PCI总线升级到了PCI-E ,总线速度最高可达16GBps,但是,小包传送问题依然没有解决。“如果用户在进行小包通过率测试时,性能出现大幅度的下滑,这种防火墙多半是x86架构。提醒用户一定不能被厂商的宣传忽悠了,基于x86的防火墙,其最高性能只能达到2Gbps!”杨海涛说。
所以,目前市场上大多数的x86防火墙不能作为千兆防火墙使用,只能作为百兆防火墙。
ASIC架构
灵活性不够
国外的大部分防火墙设计都采用了ASIC架构,以Juniper和Fortinet的产品为首,因为它的性能高,并且开发门槛高,一度成为国际国内厂商的技术分水岭。
基于ASIC架构的防火墙从架构上改进了中断机制,数据通过网卡进入系统后,不需经过主CPU处理,而是由集成在系统中的芯片直接处理,完成防火墙的功能,如路由、NAT、防火墙规则匹配等,因此,其性能得到了大幅度的提升: 性能可以达到万兆,并且64 Bytes的小包都可以达到线速。
但问题是,这种防火墙在设计时,就必须将安全功能固化进ASIC芯片中,所以它的灵活性不够,如果想要增添新的功能或进行系统升级,开发周期较长,对技术的要求也很高。此外,用ASIC开发复杂的功能,如垃圾邮件过滤、网络监控、病毒防护等,其开发比较复杂,对技术要求很高。因此,ASIC架构非常适用于功能简单的防火墙。
NP是平衡方案
国内许多厂商为了弥补防火墙性能的不足,在不断进行技术研发,推出了基于“NP+ASIC”的防火墙架构,以解决x86架构性能不足和ASIC架构不够灵活的问题。
NP是专门为网络设备处理网络流量而设计的处理器,其体系结构和指令集对于数据处理都做了专门的优化,同时辅助一些协处理器完成搜索、查表等功能,可以对网络流量进行快速的并发处理。硬件结构设计采用高速的接口技术和总线规范,具有较高的I/O能力。这是一种硬件加速的完全可编程的架构,软硬件都易于升级,因此产品的生命周期更长。
NP最大的优点在于它是通过专门的指令集和配套的软件开发系统提供强大的编程能力,因而便于开发应用,可扩展性强,而且研制周期短,成本较低。但是,相比于x86架构,由于应用开发、功能扩展受到NP的配套软件的限制,基于NP技术的防火墙的灵活性要差一些。采用微码编程,在性能方面NP不如ASIC。NP开发的难度和灵活性都介于ASIC和x86构架之间,应该说NP是x86架构和ASIC之间的平衡方案。
多核可实现性能和绿色双重设计
多核技术则是近年来新出现的处理器技术,它一出现,就被认为是解决信息安全产品功能与性能之间矛盾的一大硬件法宝。国外许多厂商,如SonicWall等,都推出了其多核产品。多核是在同一个硅晶片上集成了多个独立物理核心,每个核心都具有独立的逻辑结构,包括缓存、执行单元、指令级单元和总线接口等逻辑单元,通过高速总线、内存共享进行通信。在实际工作中,每个核心都可以达到1Ghz的主频。因此,多核技术无论在性能、灵活性还是在开发的成本和难度方面,都是其他架构不能比拟的。
杨海涛介绍,目前各种芯片厂商推出的多核芯片共分三种: 一种是Intel、AMD推出的2核、4核的通用处理器,适用于桌面笔记本电脑等通用领域; 一种是IBM、SUN分别推出的cell和SPARC架构的多核处理器,主要用于图形处理和运算; 第三种是RMI和Cavium推出的基于MIPS架构的嵌入式多核处理器,主要应用于数据通信领域,它最适合用于信息安全产品的开发。
除了上述特色外,多核的另一大特点是非常节能。杨海涛举例,以神码网络推出终结者多业务网关产品为例,16核的DCFW-1800E-8G单电源功耗仅120W,采用双电源也仅仅240W,而同样x86平台的双电源高达1020W,每年多费电约7000度。1U的5千兆接口的DCFW-1800S-H-V2,功耗仅为15W,相比一般x86平台工控机200~300W的功耗,一年节约的电费高达2500元。
链接
神码推出的多核防火墙
性能功能一览
