天融信防火墙技术培训教材.

1.
2. 3. 4. 5.
硬件+软件，不用准备额外的OS平台
安全性完全取决于专用的OS 网络适应性强（支持多种接入模式） 稳定性较高 升级、更新不太灵活
操作系统平台 硬件防火墙 软件防火墙 基于精简专用OS 基于庞大通用OS
安全性 高 较高
性能 高 较高
稳定性 较高 高
wenku.baidu.com
网络适应性 强 较强
分发 不易 非常容易
算并容易开发新的功能。
随着Intel X86CPU性能的快速提高，基于Intel X86架构的防火墙在100Mbps带宽下的性能可以满 足用户的需求。
11
基于ASIC技术的防火墙
•
ASIC：Application Specific Integrated Circuit，特定用途集成电路。
•
•
ASIC专用硬件加速技术主要是部分国外厂商的防火墙产品采用，如NetScreen的高端防火墙。ASIC
，所以基于ASIC技术，很难快速推出能满足用户需求不断变化的防火墙产品。
12
基于NP技术的防火墙
• • • •
什么是NP技术？ NP的理论优点 乐观者如是认为 NP技术发展现实
13
什么是NP？
• •
网络处理器（Network Processor，简称NP）顾名思 义即专为网络数据处理而设计的芯片或芯片组。 能够直接完成网络数据处理的一般性任务，如 TCP/IP数据的校验和计算、包分类、路由查找等，
4
防火墙连线图
串口线 直通线 交叉线 交叉线
管理机
内网 外网
SSN 区域
5
提纲
防火墙概述 防火墙分类 防火墙硬件技术
防火墙软件技术
防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用
防火墙技术发展展望
6
各种应用，支持可扩展的服务，从而能够很好地满足网络业务多样化的发展趋势，比ASIC更灵活 地应对日益更新的网络需求。
15
乐观者如是认为
•
网络处理器以其杰出的包处理性能及可编程性成为构筑网络转发引擎不可替 代的核心，它将成为新一代网络设备的核心处理器，是未来网络设备的发展 趋势。
• •
它被认为是推动下一代网络发展的一项核心技术，并开始越来越多地受到业
作为硬件集成电路，它把指令或计算逻辑固化到硬件中，获得高处理能力，提升防火墙性能。 ASIC最大缺点是缺乏灵活性，支持有限的应用和服务。一旦指令或计算逻辑固化到硬件中，就很难 修改升级、增加新的功能或提高性能，使得资源重用率很低。而且，ASIC设计和制造周期长（设计
和制造复杂ASIC一般需要花费12～18个月），研发费用高，也使ASIC很难应对万变的网络新应用
防火墙技术发展展望
9
防火墙硬件实现技术
主要有三种：
• Intel X86架构工控机 • ASIC硬件加速技术 • 网络处理器（NP）加速技术
10
基于Intel X86架构的防火墙
• • •
Intel X86架构的硬件以其高灵活性和扩展性一直受到众多国内、国外防火墙厂商的青睐。 X86 CPU由于考虑了各种应用的需要，具有一般化的通用体系结构和指令集，容易支持复杂的运
升级 较容易 容易
成本 Price=firewall+Server Price=Firewall
8
提纲
防火墙概述 防火墙分类 防火墙硬件技术
防火墙软件技术
防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用
各种类型的防火墙
按 形 态 分 类 软件防火墙 硬件防火墙
按 保 护 对 象 分 类
保护整个网络
Internet
Internet
保护单台主机
网络防火墙
单机防火墙
7
硬件防火墙&软件防火墙
软件防火墙
Internet
硬件防火墙
Internet
1. 2. 3. 4. 5.
仅获得Firewall软件，需要准备额外的OS平台 安全性依赖低层的OS 网络适应性弱（主要以路由模式工作） 稳定性高 软件分发、升级比较方便
界的关注。
国内外的许多公司和大学纷纷投入力量展开了对网络处理器的相关研究，并 将其用于中高端网络设备的研究与开发之中。
1
提纲
防火墙概述 防火墙分类 防火墙硬件技术
防火墙软件技术
防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用
防火墙技术发展展望
2
防火墙形态
内网 外网
SSN
接口属性固定
1.
标准1U机箱，节省了宝贵的机柜空间，而且外形美观大方
3
防火墙定义
两个安全域之间通 信流的唯一通道
Internet
内部网 Source Host A Host B Destination Host C Host C Permit Pass Block Protocol TCP UDP
根据访问控制规则决 定进出网络的行为
一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同 网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、 监视、记录）进出网络的访问行为。
同时，硬件体系结构的设计也弥补了传统IA体系的
不足，它们大多采用高速的接口技术和总线规范，具 有较高的I/O能力。
•
基于网络处理器的网络设备的包处理能力得到了很大 提升，很多需要高性能的领域，如千兆交换机、防火 墙、路由器的设计都可以采用网络处理器来实现。
14
NP的理论优点
•
•
网络处理器可以通过良好的体系结构设计和专门针对网络处理优化的部件，为上层提供了一个可编
程控制的环境，可以很好地解决硬件加速和软件可扩展的折衷问题。 一方面，网络处理器独立于CPU之外，是专门为进行网络分组处理而开发的，具有优化的体系结构 和指令集，因此它比CPU有着更高的处理性能，能够满足网络高速发展的需求。
•
另一方面，它具有专门的指令集和配套的软件开发系统，具有很强的编程能力，能够很方便地开发
2.
3. 4. 5. 6. 7.
配置3 个 10/100M 自适应接口，内网、外网、SSN 三个接口固定，不可更改
接口数量、类型不可更改 国内标准220V交流电源输入，不需要额外的电源转换设备 内存=64 M 电源=AC90~260V，47~63Hz，0.15A / 0.25A 主板采用集成化设计，稳定性、可靠性更高