网站大量收购闲置独家精品文档,联系QQ:2885784924

防火墙技术原理.pptVIP

  1. 1、本文档共78页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
瘦防火墙的优势与不足 优势: 性能高 注重核心功能,专业性强 整体安全性高 配置简单,简化对管理员的专业要求 不足: 功能单一 整体防护能力不能满足需求 整体采购成本较高 构建联动、统一的动态安全防护体系 无论是“胖”防火墙的集成,还是“瘦”防火墙的联动,安全产品正在朝着体系化的结构发展,所谓“胖瘦”不过是这种体系结构的具体表现方式,“胖”将这种体系表现在一个产品中,而“瘦”将这种体系表现在一系列产品或是说一个整体方案中。 同时,不管哪种体系结构,都必须通过安全管理中心来监控、协调、管理网络中的其他安全产品和网络产品,构建联动、统一的动态安全防护体系。 争议 防火墙的胖-瘦之争 防火墙的硬件架构之争 防火墙硬件架构 基于X86体系的通用CPU架构 基于网络处理器的NPU架构 基于专用处理芯片的ASIC架构 基于X86架构的防火墙 X86架构防火墙中,其CPU具有高灵活性、高扩展性的特性; 通用CPU具有体系化的指令集和系统结构,容易支持复杂的运算和开发新的功能; 基于X86架构防火墙的处理速度和能力能够很好的适应各种百兆网络环境和一般千兆网络环境的需求; 基于X86防火墙由于受CPU处理能力和PCI总线的制约,在更高的千兆环境下其性能和功能则日益不能满足于需求; 硬件平台技术分析-x86 基于X86的平台 主要提供商Intel ,AMD X86 特点: 软件开发比较灵活 便于快速推出产品 投资少 发热比较大 受总线带宽的限制 难以满足高速环境 硬件平台技术分析-其他嵌入式 基于其他 嵌入的平台 包括Power PC 、ARM、MIPS…… 嵌入式 特点: 产品稳定 低功耗,低成本 软件比较灵活 开发环境需要投资 受总线带宽的限制 网络处理器NPU则是专门为处理数据包而设计的可编程处理器,同时,其硬件体系结构的设计大多采用高速的接口技术和总线规范,具有较高的I/O能力; NP架构防火墙采用的是微引擎编程,在它的每一个网口上都有一个网络处理器(NPU),具有很强的编程灵活性,是一个高度整合的,可编程的数据处理器。因此,NP架构实质是以软件编码方式处理来自各个网口的数据转发。 在实际编码中,微引擎编程难度是比较大的,需要根据实践经验不断的总结。一般来说,通过微码(微引擎)仿真便可以发现和定位大多数问题,但是这种仿真与硬件仿真还是有很大的区别的,最终也会导致NP防火墙产品综合成本较高,稳定性开发周期长,相比之下,其成熟性远不及ASIC和Intel IA 架构。 基于NPU架构的防火墙 硬件平台技术分析-NPU 基于NPU的平台 提供厂家 Marvell(Intel)、HIFN(IBM)、[AMCC]、Broadcom NPU 特点: 能获得比较高的性能 产品稳定 有一定的灵活性 灵活性不高 软件开发难度大 基于ASIC架构的防火墙 基于ASIC专用芯片架构的防火墙,通过专用数据处理芯片来工作,是公认的千兆线速防火墙,特别适用于高端千兆网络环境下。 传统的ASIC芯片技术的最大不足就是缺乏灵活性,开发难度大。一旦指令或计算逻辑固化到硬件中,就很难修改升级、增加新的功能。而且,ASIC设计和制造周期长,研发费用高。 现代的ASIC芯片技术增加了可编程性,从而能够同时满足灵活性和高性能的要求。从实现功能方面看,ASIC防火墙可以很容易地集成VPN、内容过滤和防病毒等功能。 硬件平台技术分析-ASIC 基于ASIC的平台 采用厂家 Netscreen、Fortinet ASIC 特点: 性价比比较高 产品稳定 可以满足高性能要求 灵活性不高 投资非常大 门槛高 TG4628 零丢包率 天融信TopASIC处理器 传统架构 发送 接收 发送 接收 发送 接收 最佳组合: 在系统控制与管理、数据高速处理转发等方面,通用CPU和可编程ASIC将各司其职,共同为防火墙系统提供灵活的服务! 防火墙硬件架构的发展趋势 + * * * * * * * * 丰富的链路备份功能 网口 单combo口 双链路备份 网口 网口 双端口环形 光纤链路备份 HA HA双机备份 全冗余备份 防火墙 路由器 交换机 WWW 1 WWW 2 WWW 3 负载均衡算法: 轮流 轮流+权值 最少连接 最少连接+权值 根据负载均衡算法将数据重定位到一台WWW服务器 服务器阵列 响应请求 高可用性--服务器负载均衡 防火墙提供了“链路备份”功能来实时监视整个链路的工作情况,一旦发现异常,就立即启动“链路备份”功能自动切换到另一条备用链路,以确保网络的正常通信。 高可用性--网络链路备份功能 高可用性-双系统冗余 防火墙作为网络中的关键设备,对于维护网络的正常通信

文档评论(0)

smashing + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档