防火墙常见架构的比较
防火墙的分类
防火墙的分类防火墙是一种网络安全设备,它通过控制网络流量进出口来保护计算机网络安全。
防火墙的主要作用是控制网络流量,只允许授权的流量通过,拦截恶意攻击和非法访问。
根据其实现方式和工作原理,防火墙可以分成以下几类。
1. 包过滤型防火墙包过滤型防火墙以网络包为基本单位,通过检查网络包的IP地址、端口、协议以及数据内容等信息来判断其是否允许通过。
该类防火墙工作在网络层,简单、快捷、灵活,但是它不能处理复杂的会话流量,并且易受到欺骗和攻击。
2. 应用代理型防火墙应用代理型防火墙工作在应用层,它通过替代通常的网络协议执行代理服务,对流量的有效性和合法性进行检测和过滤,从而保护网络安全。
该类防火墙可以提供更加精细和安全的控制,但是会占用较多的系统资源,导致网络流量的延迟。
3. 状态检测型防火墙状态检测型防火墙将协议与状态绑定,它能够检测网络连接的状态,并且分析流量数据包,以此来判断网络连接是否合法,从而保护网络安全。
该类防火墙工作在会话层,能够防止网络会话劫持等攻击,但是它比较复杂,需要进行密集的资源分析和检测流量。
无状态防火墙不保存任何连接状态信息,它只是对每个流量包依照规则进行过滤并进行允许或拒绝控制。
该类型的防火墙工作原理简单,可以高效地过滤流量并进行控制,但无法实现对复杂会话流量和会话状态的检测控制。
混合型防火墙是综合使用多种防火墙技术,通过其各自长处的结合,从而形成一种更加强大和全面的网络安全控制手段。
在实际网络安全环境中,混合型防火墙通常能够在灵活性和安全性上达成最佳平衡。
总之,防火墙的分类不仅能够从不同角度对其进行划分,也提供了不同的网络安全解决方案,更为重要的是,了解不同类型的防火墙对于公司网络及数据安全的保护至关重要,企业必须根据自身的安全需求选择最合适的防火墙进行保护和威胁控制。
防火墙硬件架构
防火墙硬件架构部署在企业网络中的防火墙设备,通常能看到机柜中一个快速闪着指示灯的黑盒子。
防火墙本身就是一台为网络而设计的计算机,与通用计算机一样防火墙是由硬件和软件组成,现今防火墙有着多种硬件技术架构,不同的硬件架构有着各自不同的特点。
随着近年千兆网络开始在国内企业中大规模普及和应用,同时防火墙的硬件架构也正面临着一次变革。
1X86架构问题:性能不足X86是由Intel推出的一种复杂指令集,用于控制芯片的运行的程序,现在X86处理器已经广泛运用到了PC领域。
基于X86架构的防火墙,由于CPU处理能力和PCI总线速度的制约,在实际应用中,尤其在小包情况下,这种结构的千兆防火墙远远达不到千兆的转发速度,难以满足千兆骨干网络的应用要求。
X86架构是一种通用的“CPU+Linux”操作系统的架构。
其处理机制是,数据从网卡到CPU之间的传输是依靠“中断”实现,这导致了不可逾越的性能瓶颈,尤其在传送小包的情况下(如64 Bytes的小包),数据包的通过率只能达到20%~30%左右,并且它的设计是必须依靠CPU计算,因此,很占CPU资源,这也是为什么X86防火墙性能上不去的原因。
虽然Intel提出了解决方案,将32位的PCI总线升级到了PCI-E ,总线速度最高可达16GBps,但是,小包传送问题依然没有解决。
“如果用户在进行小包通过率测试时,性能出现大幅度的下滑,这种防火墙多半是X86架构。
提醒用户一定不能被厂商的宣传忽悠了,基于X86的防火墙,其最高性能只能达到2Gbps!”长久以来,国内许多安全厂商的防火墙产品都采用基于X86的架构,而国外厂商的多数防火墙则采用ASIC架构。
所以,目前市场上大多数的X86防火墙不能作为千兆防火墙使用,只能作为百兆防火墙。
2ASIC架构问题:灵活性不够专用集成芯片(Application Specific Integrated Circuit,简称ASIC),为特定要求和特定电子系统而设计、制造的集成电路。
防火墙的分类与优缺点知识
防火墙的分类与优缺点知识网络安全成为当今最热门的话题之一,很多企业为了保障自身服务器或数据安全都采用了防火墙。
随着科技的发展,防火墙也逐渐被大众所接受。
但是,由于防火墙是属于高科技产物,许多的人对此还并不是了解的十分透彻。
而这篇文章就是给大家讲述了防火墙工作的方式,以及防火墙的基本分类,并且讨论了每一种防火墙的优缺点。
欢迎大家阅读一、防火墙的基本分类1.包过滤防火墙第一代防火墙和最基本形式防火墙检查每一个通过的网络包,或者丢弃,或者放行,取决于所建立的一套规则。
这称为包过滤防火墙。
本质上,包过滤防火墙是多址的,表明它有两个或两个以上网络适配器或接口。
例如,作为防火墙的设备可能有两块网卡(NIC),一块连到内部网络,一块连到公共的Internet。
防火墙的任务,就是作为“通信警察”,指引包和截住那些有危害的包。
包过滤防火墙检查每一个传入包,查看包中可用的基本信息(源地址和目的地址、端口号、协议等)。
然后,将这些信息与设立的规则相比较。
如果已经设立了阻断telnet连接,而包的目的端口是23的话,那么该包就会被丢弃。
如果允许传入Web连接,而目的端口为80,则包就会被放行。
多个复杂规则的组合也是可行的。
如果允许Web连接,但只针对特定的服务器,目的端口和目的地址二者必须与规则相匹配,才可以让该包通过。
最后,可以确定当一个包到达时,如果对该包没有规则被定义,接下来将会发生什么事情了。
通常,为了安全起见,与传入规则不匹配的包就被丢弃了。
如果有理由让该包通过,就要建立规则来处理它。
建立包过滤防火墙规则的例子如下:对来自专用网络的包,只允许来自内部地址的包通过,因为其他包包含不正确的包头部信息。
这条规则可以防止网络内部的任何人通过欺骗性的源地址发起攻击。
而且,如果黑客对专用网络内部的机器具有了不知从何得来的访问权,这种过滤方式可以阻止黑客从网络内部发起攻击。
在公共网络,只允许目的地址为80端口的包通过。
这条规则只允许传入的连接为Web连接。
防火墙架构
防火墙架构防火墙架构企业的防火墙设计和安装是一项艰巨的工作。
在设计过程中对防火墙的选择在以后的多年中对安全的意义深远。
在这一系列文章中,我们将详细探讨防火墙的安装,希望对防火墙设计的过程会有帮助。
我们将会分四个部分来探讨。
如何选择防火墙尽管新的安全技术不断发展进化,防火墙仍然是网络结构的关键部分。
目前,企业可选择的防火墙种类很多。
本小节将列出选择适合企业网络安全需要的防火墙时的五个常见问题。
如何选择防火墙如何选择防火墙拓扑结构当为一个企业开发边界保护策略时,最常见的问题是“我应该把防火墙设置在哪里,以发挥其最大效用?”本小节将介绍三种最常见的防火墙拓扑结构,包括防御主机,屏蔽子网和双重防火墙结构。
防火墙拓扑结构选择如何在防火墙拓扑结构中配置系统一旦你决定了哪一种拓扑结构最适合你的IT架构,就需要决定在选种的拓扑结构中系统的位置。
本小节将介绍在防火墙拓扑结构中系统的位置,比如在防御主机,屏蔽子网和多宿防火墙等拓扑结构中的位置。
在防火墙拓扑结构中配置系统如何利用防火墙日志功能迅速而频繁的改变配置使得日常维护任务变得很难。
在这篇文章中,我们将探讨防火墙日志功能,来维持良好的状态。
防火墙行为审计如何选择防火墙现在市场上有一些不同种类的防火墙。
为你的组织选择一种防火墙是一项令人望而却步的工作——尤其是为一个充斥着流言和专利商标的行业。
我们来看一下防火墙技术的基本知识以及为公司选择防火墙时,你可能会问到的五个问题。
1.为什么要使用防火墙?当然,这可能听起来似乎是一个简单的问题。
你可能自己会解答,“因为我们需要!”但是重要的是你花费时间确定使用防火墙的技术目标。
这些目标会决定选择过程。
当一种简单的产品就能满足你的技术要求时,你就不想选择一种昂贵的、而功能丰富到迷惑管理员的防火墙。
2.防火墙如何能适合你的网络拓扑结构?这种防火墙是否存在于整个网络的周界,并直接与因特网相连接,或者是否适合公司其它地方的敏感局域网分段?它可以处理多大流量?它需要多少界面来分割流量?诸如这些的性能要求大大增加了推行新防火墙的总成本,这很容易造成购买产品的不足或过剩。
常见防火墙及其优缺点
常见防火墙及其优缺点防火墙有许许多多种形式,有以软件形式运行在普通计算机之上的,也有以固件形式设计在路由器之中的。
总的来说业界的分类有三种:包过滤防火墙,应用级网关和状态监视器。
(1)包过滤防火墙在互联网络这样的TCP/IP网络上,所有往来的信息都被分割成许许多多一定长度的信息包,包中包含发送者的IP地址和接收者的IP地址信息。
当这些信息包被送上互联网络时,路由器会读取接收者的IP并选择一条合适的物理线路发送出去,信息包可能经由不同的路线抵达目的地,当所有的包抵达目的地后会重新组装还原。
包过滤式的防火墙会检查所有通过的信息包中的IP地址,并按照系统管理员所给定的过滤规则进行过滤。
如果对防火墙设定某一IP地址的站点为不适宜访问的话,从这个地址来的所有信息都会被防火墙屏蔽掉。
包过滤防火墙的优点是它对于用户来说是透明的,处理速度快而且易于维护,通常做为第一道防线。
包过滤路由器通常没有用户的使用记录,这样我们就不能得到入侵者的攻击记录。
而攻破一个单纯的包过滤式防火墙对黑客来说还是有办法的。
"IP地址欺骗"是黑客比较常用的一种攻击手段。
黑客们向包过滤式防火墙发出一系列信息包,这些包中的IP地址已经被替换为一串顺序的IP地址,一旦有一个包通过了防火墙,黑客便可以用这个IP地址来伪装他们发出的信息;在另一种情况下黑客们使用一种他们自己编制的路由攻击程序,这种程序使用动态路由协议来发送伪造的路由信息,这样所有的信息包都会被重新路由到一个入侵者所指定的特别地址;破坏这种防火墙的另一种方法被称之为"同步风暴",这实际上是一种网络炸弹。
攻击者向被攻击的计算机发出许许多多个虚假的"同步请求"信息包,目标计算机响应了这种信息包后会等待请求发出者的应答,而攻击者却不做任何的响应。
如果服务器在一定时间里没有收到响应信号的话就会结束这次请求连接,但是当服务器在遇到成千上万个虚假请求时,它便没有能力来处理正常的用户服务请求,处于这种攻下的服务器表现为性能下降,服务响应时间变长,严重时服务完全停止甚至死机。
防火墙体系结构
对过滤路由器的保护
▪ 如果过滤路由器对重定向消息作出应答,就会受到入侵者所发 出的错误的ICMP消息包的攻击,因此icmp重定向消息的应答 必须禁止。
▪ 应对方法:建立静态路由表。 ▪ 另外还要处理:禁止ARP 、代理ARP、ICMP不可信消息、禁
止telnet。
Page ▪ 16
▪ 一般应用在安全要求不太高的小型网络中
Page ▪ 5
屏蔽主机体系结构
实现网络层和应用层安全
防火墙第一道防线,连接 内网和外网; 堡垒主机第二道防线, 过滤服务
Page ▪ 6
屏蔽主机体系结构
▪ 被屏蔽主机(Screened Host Gateway):
通常在路由器上设立ACL过滤规则,并通过堡垒主机进行数据转发,来确保内部网络的安全。 弱点:如果攻击者进入屏蔽主机内,内网中的主机就会受到很大威胁;这与双宿主主机受攻击
内容与要求
▪ 理解包过滤、屏蔽主机、屏蔽子网防火墙的工作原理 ▪ 理解堡垒主机、周边网络、多宿主机概念 ▪ 学会灵活应用防火墙各种体系结构 ▪ 能力目标:学会定义安全区域并配置不同安全区域之间的安全策略.
Page ▪ 1
内容回顾
▪ 防火墙定义、堡垒主机定义 ▪ 包过滤防火墙的实现原理 ▪ 屏蔽主机防火墙的实现原理 ▪ 实验:
▪ 过滤路由器作为内外网连接的唯一通道,通过ACL策略要求所有的报文都必须在 此通过检查,实现报文过滤功能。
▪ 它的缺点是一旦被攻陷后很难发现,而且不能识别不同的用户(没有日志记录)。
Page ▪ 4Βιβλιοθήκη 包过滤型防火墙▪ 优点: ▪ 速度快,费用少,对用户透明; ▪ 缺点: ▪ 维护困难 ▪ 只能阻止一种类型的地址欺骗 ▪ 不能防止数据驱动型攻击 ▪ 有的不支持用户认证 ▪ 过滤器数目越多,路由器执行效率越低 ▪ 不能对网络上的数据提供全面的防护
6.3防火墙的体系结构
1.安装防火墙管理器软件。 管理器软件一般安装在单独的管理主机上,管理主机通常位于管理中 心网络的网管主机上,管理中心为内部防火区的子集,同时管理主 机或管理中心与其他安全区域相比有更严格的访问安全策略。(详 见P155) 2.管理网络卫士防火墙 网络管理员可以通过多种方式管理网络卫士防火墙。管理港式包括本 地管理和远程管理,本地管理即通过Console口登录防火墙进行管理; 远程管理包括使用防火墙集中管理器,或通过Telnet及SSH等多种方 式登录防火墙进行配置管理. (1) 使用Console口登录防火墙。具体方法见P155-157 (2)使用防火墙集中管理器。具体方法见P157-158 3.防火墙的一些策略配置 (1)定义网络区域。(2)定义网络对象。(3)配置访问策略 (4)通信策略。
网络与用户的被保护的内部网络之间的附加网络。 如果侵袭着成功地侵入用户的防火墙的外层领域, 周边网络在侵袭着与用户的内部系统之间提供一 个附加的保护层。
(2)堡垒主机 在屏蔽子网体系结构中,用户把堡垒主机 连接到周边网,这台主机既是接收来自外界连接的主要 入口。对于出站服务可以按照如下任一方式进行。 在外部和内部的路由器上设置数据包过滤来允许内部的 客户端直接访问外部的服务器; 设置代理服务器在堡垒主机上允许来允许内部的客户端 间接地访问外部的服务器。用户也可以设置数据包过滤 来允许内部的客户端在堡垒主机上同代理服务器交谈。 反之亦然,但是禁止内部的客户端与外部之间直接通信。
6.3 防火墙的体系结构
1
双重宿主主机体系结构
2 3
屏蔽主机体系结构
基于代理型防火墙结构
4
屏蔽子网体系结构
6.3.1 双重宿主主机体系结构
基于双重宿主主机结构是最基本的防火墙系统结构。该 体系结构是围绕具有双重宿主的主机计算机而构筑的, 该计算机至少有两个网络接口。 这样的主机可以充当与这些接口相连的网络之间的路由 器,它能够从一个网络到另一个网络发送IP数据包,但 是,双重宿主主机防火墙体系结构禁止这种功能。 IP数据包从一个网络并不是直接发送到其他网络,经过 一个安全检查模块检查后,如果是合法的,则转发到另 一块网卡上,以实现网络的正常通信;如果不合法,则 阻止通信。这样,内外网络直接的IP数据流完全在双宿 主主机的控制之中。
防火墙常见架构的比较
防火墙的x86、NP、ASIC和多核架构的比较随着网络的发展,网络威胁日益严峻,目前各大安全厂商都推出了多核心防火墙,采用多核芯片,终结了x86、NP和ASIC一统天下的时代,终结了高功耗、低稳定性的时代,并且提供了全面的应用安全解决方案。
多核心技术真正实现了千兆的小包吞吐量,相对于以往的X86、ASIC、NP技术,有了革命性的进步。
先从以往的这些架构的优缺点讲起:国内多数安全厂商的产品基于传统的X86架构防火墙,从总线速度来看基于32位PC I总线的X86平台,做为百兆防火墙的方案是没有任何问题的。
但X86平台的防火墙方案,数据从网卡到CPU之间的传输机制是靠“中断”来实现的,中断机制导致在有大量数据包的需要处理的情况下(如:64 Bytes的小包,以下简称小包),X86平台的防火墙吞吐速率不高,大概在30%左右,并且CPU占用会很高。
这是所有基于X86平台的防火墙所共同存在的问题。
因此,基于32位PCI总线的X86平台是不能做为千兆防火墙使用的问题,Intel提出了解决方案,可以把32位的PCI总线升级到了PCI-E ,即:PCI-Express,这样,PCI -E 4X的总线的速度就可以达到2000MB Bytes/S,即:16Gbits/S,并且PCI-E各个PCI设备之间互相独立不共享总线带宽,每个基于PCI-E的网口可以使用的带宽为:2000 MB Bytes/S,即:16Gbits/S,所以基于PCI-E 4X的X86从系统带宽上来说,做为千兆防火墙是没有任何问题的。
但是,基于PCI-E的防火墙数据从网卡到CPU之间传输同样使用“中断”机制来传输数据,所以小包(64 Bytes)的通过率仍然为:30-40%.X86平台的防火墙其最大的缺点就是小包通速率低,只有30%-40%,造成这个问题的主要原因是因为X86平台的中断机制以及X86平台的防火墙所有数据都要经过主CP U处理。
基于ASIC架构的防火墙从架构上改进了中断机制,数据从网卡收到以后,不经过主CPU处理,而是经过集成在系统中的一些芯片直接处理,由这些芯片来完成传统防火墙的功能,如:路由、NAT、防火墙规则匹配等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙的x86、NP、ASIC和多核架构的比较随着网络的发展,网络威胁日益严峻,目前各大安全厂商都推出了多核心防火墙,采用多核芯片,终结了x86、NP和ASIC一统天下的时代,终结了高功耗、低稳定性的时代,并且提供了全面的应用安全解决方案。
多核心技术真正实现了千兆的小包吞吐量,相对于以往的X86、ASIC、NP技术,有了革命性的进步。
先从以往的这些架构的优缺点讲起:国内多数安全厂商的产品基于传统的X86架构防火墙,从总线速度来看基于32位PC I总线的X86平台,做为百兆防火墙的方案是没有任何问题的。
但X86平台的防火墙方案,数据从网卡到CPU之间的传输机制是靠“中断”来实现的,中断机制导致在有大量数据包的需要处理的情况下(如:64 Bytes的小包,以下简称小包),X86平台的防火墙吞吐速率不高,大概在30%左右,并且CPU占用会很高。
这是所有基于X86平台的防火墙所共同存在的问题。
因此,基于32位PCI总线的X86平台是不能做为千兆防火墙使用的问题,Intel提出了解决方案,可以把32位的PCI总线升级到了PCI-E ,即:PCI-Express,这样,PCI -E 4X的总线的速度就可以达到2000MB Bytes/S,即:16Gbits/S,并且PCI-E各个PCI设备之间互相独立不共享总线带宽,每个基于PCI-E的网口可以使用的带宽为:2000 MB Bytes/S,即:16Gbits/S,所以基于PCI-E 4X的X86从系统带宽上来说,做为千兆防火墙是没有任何问题的。
但是,基于PCI-E的防火墙数据从网卡到CPU之间传输同样使用“中断”机制来传输数据,所以小包(64 Bytes)的通过率仍然为:30-40%.X86平台的防火墙其最大的缺点就是小包通速率低,只有30%-40%,造成这个问题的主要原因是因为X86平台的中断机制以及X86平台的防火墙所有数据都要经过主CP U处理。
基于ASIC架构的防火墙从架构上改进了中断机制,数据从网卡收到以后,不经过主CPU处理,而是经过集成在系统中的一些芯片直接处理,由这些芯片来完成传统防火墙的功能,如:路由、NAT、防火墙规则匹配等。
这样数据不经过主CPU处理,不使用中断机制。
但随之而来的问题是,ASIC架构的防火墙是芯片一级的,所有的防火墙动作由芯片来处理。
这些芯片的功能比较单一,要升级维护的开发周期比较长。
无法在芯片一级完成垃圾邮件过滤、网络监控、病毒防护等比较复杂的功能,所以说,ASIC架构用来做功能简单的防火墙,是完全适用的,64 Bytes的小包都可以达到线速。
但是在扩展上通用CPU也是无法和专门的嵌入式CPU比较,并且在总线带宽上也无法承载太多的内部处理数据传输(M ulti-core多核处理器内部是通过高速总线或者交叉矩阵式连接的)。
NP架构实现的原理和ASIC类似,但升级、维护远远好于ASIC 架构。
NP架构在的每一个网口上都有一个网络处理器,即:NPE,用来处理来自网口的数据。
每个网络处理器上所运行的程序使用微码编程,其软件实现的难度比较大,开发周期比ASIC短,但比X8 6长。
采用多核处理器,是在同一个硅晶片上集成了多个独立物理核心,每个核心都具有独立的逻辑结构,包括缓存、执行单元、指令级单元和总线接口等逻辑单元,通过高速总线、内存共享进行通信。
在实际工作中,每个核心都可以达到1Ghz的主频,而且可以在非常节能的方式下运行。
有的多核产品支持500万并发会话64Byte吞吐量达到3G,256Byte以上吞吐达到8G,VPN吞吐达到8G,支持3万VPN通道,支持5万Policy。
每秒新建TCP会话超过20万,每秒处理UDP会话超过50万。
在每秒创建5000TCP会话作为背景流量,可以检测并防御80万包/每秒以上的SYN-FLOOD攻击,更是达到了万兆线速。
一系列的性能测试结果足以傲视众多安全平台。
防火墙x86架构和ASIC架构和NP架构的区别在众多的安全产品中,防火墙产品无疑是保障网络安全的第一道防线,很多企业为了保障自身服务器或数据安全都采用了防火墙。
随着Internet的迅速普及,全球范围内的计算机网络病毒、操作系统漏洞、垃圾邮件等网络安全问题也是层出不穷,网络安全产品和解决方案越来越成为各类网络用户和厂商们的聚焦点,在众多的安全产品中,防火墙产品无疑是保障网络安全的第一道防线,很多企业为了保障自身服务器或数据安全都采用了防火墙。
随着网络应用的增加,对网络带宽提出了更高的要求。
这意味着防火墙要能够以非常高的速率处理数据,于是千兆防火墙逐步崭露头角,频频被运用在金融、电信、教育、气象等大型的行业和机构,以及对安全要求极高的大型企业用户,其市场占有份额已经超过50%;下面就让我们来了解一下千兆防火墙的相关的产品、技术及选购方面的一些知识。
不同构架各具特色从百兆到千兆,最初只是量变。
千兆防火墙在2000年前后就进入了我国市场。
由于百兆网络接口与千兆网络接口的成本相差不大,早期的千兆防火墙仅仅是将百兆接口替换为千兆接口而已。
这种基于X86体系结构的千兆防火墙主体仍然是软件,其性能受到很大制约,无法达到千兆的处理速度。
因此,这些防火墙只是具有千兆接入能力的防火墙,而不是真正具有千兆处理能力的防火墙因此可以说是一种“换汤不换药”的形式改变。
随后几年,随着千兆网络在企业和行业用户中的不断普及,以及用户对性能需求的不断增加,千兆防火墙也逐发生了质变。
这种质的变化首先是人们把目光转移到了专用集成电路(ASIC)和网络处理器(NP)上。
相对于X86架构,基于这些架构的千兆防火墙才是真正的硬件解决方案,能够实现千兆处理速度。
在这里,我们不妨将X86架构、NP和ASIC放在一起进行技术比较,看看不同技术的优缺点。
X86架构最初的千兆防火墙是基于X86架构。
X86架构采用通用CPU和PCI总线接口,具有很高的灵活性和可扩展性,过去一直是防火墙开发的主要平台。
其产品功能主要由软件实现,可以根据用户的实际需要而做相应调整,增加或减少功能模块,产品比较灵活,功能十分丰富。
但其性能发展却受到体系结构的制约,作为通用的计算平台,x86的结构层次较多,不易优化,且往往会受到PCI总线的带宽限制。
虽然PCI总线接口理论上能达到接近2Gbps 的吞吐量,但是通用CPU的处理能力有限,尽管防火墙软件部分可以尽可能地优化,很难达到千兆速率。
同时很多X86架构的防火墙是基于定制的通用操作系统,安全性很大程度上取决于通用操作系统自身的安全性,可能会存在安全漏洞。
ASIC架构相比之下,ASIC防火墙通过专门设计的ASIC芯片逻辑进行硬件加速处理。
ASIC通过把指令或计算逻辑固化到芯片中,获得了很高的处理能力,因而明显提升了防火墙的性能。
新一代的高可编程ASIC采用了更灵活的设计,能够通过软件改变应用逻辑,具有更广泛的适应能力。
但是,ASIC的缺点也同样明显,它的灵活性和扩展性不够,开发费用高,开发周期太长,一般耗时接近2年。
虽然研发成本较高,灵活性受限制、无法支持太多的功能,但其性能具有先天的优势,非常适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。
目前,NetScreen在ASIC防火墙领域占有优势地位,而我国的首信也推出了我国基于自主技术的A SIC千兆防火墙产品。
NP架构NP可以说是介于两者之间的技术,NP是专门为网络设备处理网络流量而设计的处理器,其体系结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进行了专门的优化,可以高效地完成TCP/IP栈的常用操作,并对网络流量进行快速的并发处理。
硬件结构设计也大多采用高速的接口技术和总线规范,具有较高的 I/O能力。
它可以构建一种硬件加速的完全可编程的架构,这种架构的软硬件都易于升级,软件可以支持新的标准和协议,硬件设计支持更高网络速度,从而使产品的生命周期更长。
由于防火墙处理的就是网络数据包,所以基于NP架构的防火墙与X86架构的防火墙相比,性能得到了很大的提高。
NP通过专门的指令集和配套的软件开发系统,提供强大的编程能力,因而便于开发应用,支持可扩展的服务,而且研制周期短,成本较低。
但是,相比于X86架构,由于应用开发、功能扩展受到NP的配套软件的限制,基于NP技术的防火墙的灵活性要差一些。
由于依赖软件环境,所以在性能方面NP不如ASIC。
NP 开发的难度和灵活性都介于ASIC和x86构架之间,应该说,NP是X86架构和ASIC之间的一个折衷。
目前NP的主要提供商是I ntel和 Motorola,国内基于NP技术开发千兆防火墙的厂商最多,联想、紫光比威等都有相关产品推出。
从上面可以看出,X86架构、NP和ASIC各有优缺点。
X86架构灵活性最高,新功能、新模块扩展容易,但性能肯定满足不了千兆需要。
ASIC性能最高,千兆、万兆吞吐速率均可实现,但灵活性最低,定型后再扩展十分困难。
NP则介于两者之间,性能可满足千兆需要,同时也具有一定的灵活性。
三种架构综合比较选购千兆防火墙需要考虑什么在选购千兆防火墙时,用户首先需要明确自己的需求。
安全风险和网络应用决定了用户需求,每个网络的层次、作用、大小和结构各不同,致使这些网络所面临的安全风险不相同,安全需求自然也不相同。
没有重要资产的网络没有必要选择高端防火墙,高安全需求的网络不能选择低安全性的防火墙,这是很浅显的道理。
同样地,只有10M带宽接入互联网的办公机构没有必要去选择千兆防火墙。
其次,在防火墙的安全功能与性能之间做出折衷。
防火墙存在着功能与性能的矛盾,根据预定的安全策略,防火墙在协议栈的不同层次对流量进行检查,决定对流量的控制措施(允许通过或丢弃)。
检查的层次越高,防火墙消耗的资源就越多,花费的时间就越长,性能就会越低。
在应用环境时要考虑网络拓扑,用户规模,流量带宽,通信类型和环境的复杂恶劣程度等。
最后,技术支持与服务,在选择安全产品的时候,厂家或商家的技术支持与服务能力也应该是重要的考虑因素。
从百兆到千兆,最初只是量变。
千兆防火墙在2000年前后就进入了我国市场。
由于百兆网络接口与千兆网络接口的成本相差不大,早期的千兆防火墙仅仅是将百兆接口替换为千兆接口而已。
这种基于X86体系结构的千兆防火墙主体仍然是软件,其性能受到很大制约,无法达到千兆的处理速度。
因此,这些防火墙只是具有千兆接入能力的防火墙,而不是真正具有千兆处理能力的防火墙因此可以说是一种“换汤不换药”的形式改变。
随后几年,随着千兆网络在企业和行业用户中的不断普及,以及用户对性能需求的不断增加,千兆防火墙也逐发生了质变。
这种质的变化首先是人们把目光转移到了专用集成电路(ASIC)和网络处理器(NP)上。
相对于X86架构,基于这些架构的千兆防火墙才是真正的硬件解决方案,能够实现千兆处理速度。