防火墙常见架构的比较
防火墙的分类
防火墙的分类防火墙是一种网络安全设备,它通过控制网络流量进出口来保护计算机网络安全。
防火墙的主要作用是控制网络流量,只允许授权的流量通过,拦截恶意攻击和非法访问。
根据其实现方式和工作原理,防火墙可以分成以下几类。
1. 包过滤型防火墙包过滤型防火墙以网络包为基本单位,通过检查网络包的IP地址、端口、协议以及数据内容等信息来判断其是否允许通过。
该类防火墙工作在网络层,简单、快捷、灵活,但是它不能处理复杂的会话流量,并且易受到欺骗和攻击。
2. 应用代理型防火墙应用代理型防火墙工作在应用层,它通过替代通常的网络协议执行代理服务,对流量的有效性和合法性进行检测和过滤,从而保护网络安全。
该类防火墙可以提供更加精细和安全的控制,但是会占用较多的系统资源,导致网络流量的延迟。
3. 状态检测型防火墙状态检测型防火墙将协议与状态绑定,它能够检测网络连接的状态,并且分析流量数据包,以此来判断网络连接是否合法,从而保护网络安全。
该类防火墙工作在会话层,能够防止网络会话劫持等攻击,但是它比较复杂,需要进行密集的资源分析和检测流量。
无状态防火墙不保存任何连接状态信息,它只是对每个流量包依照规则进行过滤并进行允许或拒绝控制。
该类型的防火墙工作原理简单,可以高效地过滤流量并进行控制,但无法实现对复杂会话流量和会话状态的检测控制。
混合型防火墙是综合使用多种防火墙技术,通过其各自长处的结合,从而形成一种更加强大和全面的网络安全控制手段。
在实际网络安全环境中,混合型防火墙通常能够在灵活性和安全性上达成最佳平衡。
总之,防火墙的分类不仅能够从不同角度对其进行划分,也提供了不同的网络安全解决方案,更为重要的是,了解不同类型的防火墙对于公司网络及数据安全的保护至关重要,企业必须根据自身的安全需求选择最合适的防火墙进行保护和威胁控制。
防火墙硬件架构
防火墙硬件架构部署在企业网络中的防火墙设备,通常能看到机柜中一个快速闪着指示灯的黑盒子。
防火墙本身就是一台为网络而设计的计算机,与通用计算机一样防火墙是由硬件和软件组成,现今防火墙有着多种硬件技术架构,不同的硬件架构有着各自不同的特点。
随着近年千兆网络开始在国内企业中大规模普及和应用,同时防火墙的硬件架构也正面临着一次变革。
1X86架构问题:性能不足X86是由Intel推出的一种复杂指令集,用于控制芯片的运行的程序,现在X86处理器已经广泛运用到了PC领域。
基于X86架构的防火墙,由于CPU处理能力和PCI总线速度的制约,在实际应用中,尤其在小包情况下,这种结构的千兆防火墙远远达不到千兆的转发速度,难以满足千兆骨干网络的应用要求。
X86架构是一种通用的“CPU+Linux”操作系统的架构。
其处理机制是,数据从网卡到CPU之间的传输是依靠“中断”实现,这导致了不可逾越的性能瓶颈,尤其在传送小包的情况下(如64 Bytes的小包),数据包的通过率只能达到20%~30%左右,并且它的设计是必须依靠CPU计算,因此,很占CPU资源,这也是为什么X86防火墙性能上不去的原因。
虽然Intel提出了解决方案,将32位的PCI总线升级到了PCI-E ,总线速度最高可达16GBps,但是,小包传送问题依然没有解决。
“如果用户在进行小包通过率测试时,性能出现大幅度的下滑,这种防火墙多半是X86架构。
提醒用户一定不能被厂商的宣传忽悠了,基于X86的防火墙,其最高性能只能达到2Gbps!”长久以来,国内许多安全厂商的防火墙产品都采用基于X86的架构,而国外厂商的多数防火墙则采用ASIC架构。
所以,目前市场上大多数的X86防火墙不能作为千兆防火墙使用,只能作为百兆防火墙。
2ASIC架构问题:灵活性不够专用集成芯片(Application Specific Integrated Circuit,简称ASIC),为特定要求和特定电子系统而设计、制造的集成电路。
防火墙的分类与优缺点知识
防火墙的分类与优缺点知识网络安全成为当今最热门的话题之一,很多企业为了保障自身服务器或数据安全都采用了防火墙。
随着科技的发展,防火墙也逐渐被大众所接受。
但是,由于防火墙是属于高科技产物,许多的人对此还并不是了解的十分透彻。
而这篇文章就是给大家讲述了防火墙工作的方式,以及防火墙的基本分类,并且讨论了每一种防火墙的优缺点。
欢迎大家阅读一、防火墙的基本分类1.包过滤防火墙第一代防火墙和最基本形式防火墙检查每一个通过的网络包,或者丢弃,或者放行,取决于所建立的一套规则。
这称为包过滤防火墙。
本质上,包过滤防火墙是多址的,表明它有两个或两个以上网络适配器或接口。
例如,作为防火墙的设备可能有两块网卡(NIC),一块连到内部网络,一块连到公共的Internet。
防火墙的任务,就是作为“通信警察”,指引包和截住那些有危害的包。
包过滤防火墙检查每一个传入包,查看包中可用的基本信息(源地址和目的地址、端口号、协议等)。
然后,将这些信息与设立的规则相比较。
如果已经设立了阻断telnet连接,而包的目的端口是23的话,那么该包就会被丢弃。
如果允许传入Web连接,而目的端口为80,则包就会被放行。
多个复杂规则的组合也是可行的。
如果允许Web连接,但只针对特定的服务器,目的端口和目的地址二者必须与规则相匹配,才可以让该包通过。
最后,可以确定当一个包到达时,如果对该包没有规则被定义,接下来将会发生什么事情了。
通常,为了安全起见,与传入规则不匹配的包就被丢弃了。
如果有理由让该包通过,就要建立规则来处理它。
建立包过滤防火墙规则的例子如下:对来自专用网络的包,只允许来自内部地址的包通过,因为其他包包含不正确的包头部信息。
这条规则可以防止网络内部的任何人通过欺骗性的源地址发起攻击。
而且,如果黑客对专用网络内部的机器具有了不知从何得来的访问权,这种过滤方式可以阻止黑客从网络内部发起攻击。
在公共网络,只允许目的地址为80端口的包通过。
这条规则只允许传入的连接为Web连接。
防火墙架构
防火墙架构防火墙架构企业的防火墙设计和安装是一项艰巨的工作。
在设计过程中对防火墙的选择在以后的多年中对安全的意义深远。
在这一系列文章中,我们将详细探讨防火墙的安装,希望对防火墙设计的过程会有帮助。
我们将会分四个部分来探讨。
如何选择防火墙尽管新的安全技术不断发展进化,防火墙仍然是网络结构的关键部分。
目前,企业可选择的防火墙种类很多。
本小节将列出选择适合企业网络安全需要的防火墙时的五个常见问题。
如何选择防火墙如何选择防火墙拓扑结构当为一个企业开发边界保护策略时,最常见的问题是“我应该把防火墙设置在哪里,以发挥其最大效用?”本小节将介绍三种最常见的防火墙拓扑结构,包括防御主机,屏蔽子网和双重防火墙结构。
防火墙拓扑结构选择如何在防火墙拓扑结构中配置系统一旦你决定了哪一种拓扑结构最适合你的IT架构,就需要决定在选种的拓扑结构中系统的位置。
本小节将介绍在防火墙拓扑结构中系统的位置,比如在防御主机,屏蔽子网和多宿防火墙等拓扑结构中的位置。
在防火墙拓扑结构中配置系统如何利用防火墙日志功能迅速而频繁的改变配置使得日常维护任务变得很难。
在这篇文章中,我们将探讨防火墙日志功能,来维持良好的状态。
防火墙行为审计如何选择防火墙现在市场上有一些不同种类的防火墙。
为你的组织选择一种防火墙是一项令人望而却步的工作——尤其是为一个充斥着流言和专利商标的行业。
我们来看一下防火墙技术的基本知识以及为公司选择防火墙时,你可能会问到的五个问题。
1.为什么要使用防火墙?当然,这可能听起来似乎是一个简单的问题。
你可能自己会解答,“因为我们需要!”但是重要的是你花费时间确定使用防火墙的技术目标。
这些目标会决定选择过程。
当一种简单的产品就能满足你的技术要求时,你就不想选择一种昂贵的、而功能丰富到迷惑管理员的防火墙。
2.防火墙如何能适合你的网络拓扑结构?这种防火墙是否存在于整个网络的周界,并直接与因特网相连接,或者是否适合公司其它地方的敏感局域网分段?它可以处理多大流量?它需要多少界面来分割流量?诸如这些的性能要求大大增加了推行新防火墙的总成本,这很容易造成购买产品的不足或过剩。
常见防火墙及其优缺点
常见防火墙及其优缺点防火墙有许许多多种形式,有以软件形式运行在普通计算机之上的,也有以固件形式设计在路由器之中的。
总的来说业界的分类有三种:包过滤防火墙,应用级网关和状态监视器。
(1)包过滤防火墙在互联网络这样的TCP/IP网络上,所有往来的信息都被分割成许许多多一定长度的信息包,包中包含发送者的IP地址和接收者的IP地址信息。
当这些信息包被送上互联网络时,路由器会读取接收者的IP并选择一条合适的物理线路发送出去,信息包可能经由不同的路线抵达目的地,当所有的包抵达目的地后会重新组装还原。
包过滤式的防火墙会检查所有通过的信息包中的IP地址,并按照系统管理员所给定的过滤规则进行过滤。
如果对防火墙设定某一IP地址的站点为不适宜访问的话,从这个地址来的所有信息都会被防火墙屏蔽掉。
包过滤防火墙的优点是它对于用户来说是透明的,处理速度快而且易于维护,通常做为第一道防线。
包过滤路由器通常没有用户的使用记录,这样我们就不能得到入侵者的攻击记录。
而攻破一个单纯的包过滤式防火墙对黑客来说还是有办法的。
"IP地址欺骗"是黑客比较常用的一种攻击手段。
黑客们向包过滤式防火墙发出一系列信息包,这些包中的IP地址已经被替换为一串顺序的IP地址,一旦有一个包通过了防火墙,黑客便可以用这个IP地址来伪装他们发出的信息;在另一种情况下黑客们使用一种他们自己编制的路由攻击程序,这种程序使用动态路由协议来发送伪造的路由信息,这样所有的信息包都会被重新路由到一个入侵者所指定的特别地址;破坏这种防火墙的另一种方法被称之为"同步风暴",这实际上是一种网络炸弹。
攻击者向被攻击的计算机发出许许多多个虚假的"同步请求"信息包,目标计算机响应了这种信息包后会等待请求发出者的应答,而攻击者却不做任何的响应。
如果服务器在一定时间里没有收到响应信号的话就会结束这次请求连接,但是当服务器在遇到成千上万个虚假请求时,它便没有能力来处理正常的用户服务请求,处于这种攻下的服务器表现为性能下降,服务响应时间变长,严重时服务完全停止甚至死机。
防火墙体系结构
对过滤路由器的保护
▪ 如果过滤路由器对重定向消息作出应答,就会受到入侵者所发 出的错误的ICMP消息包的攻击,因此icmp重定向消息的应答 必须禁止。
▪ 应对方法:建立静态路由表。 ▪ 另外还要处理:禁止ARP 、代理ARP、ICMP不可信消息、禁
止telnet。
Page ▪ 16
▪ 一般应用在安全要求不太高的小型网络中
Page ▪ 5
屏蔽主机体系结构
实现网络层和应用层安全
防火墙第一道防线,连接 内网和外网; 堡垒主机第二道防线, 过滤服务
Page ▪ 6
屏蔽主机体系结构
▪ 被屏蔽主机(Screened Host Gateway):
通常在路由器上设立ACL过滤规则,并通过堡垒主机进行数据转发,来确保内部网络的安全。 弱点:如果攻击者进入屏蔽主机内,内网中的主机就会受到很大威胁;这与双宿主主机受攻击
内容与要求
▪ 理解包过滤、屏蔽主机、屏蔽子网防火墙的工作原理 ▪ 理解堡垒主机、周边网络、多宿主机概念 ▪ 学会灵活应用防火墙各种体系结构 ▪ 能力目标:学会定义安全区域并配置不同安全区域之间的安全策略.
Page ▪ 1
内容回顾
▪ 防火墙定义、堡垒主机定义 ▪ 包过滤防火墙的实现原理 ▪ 屏蔽主机防火墙的实现原理 ▪ 实验:
▪ 过滤路由器作为内外网连接的唯一通道,通过ACL策略要求所有的报文都必须在 此通过检查,实现报文过滤功能。
▪ 它的缺点是一旦被攻陷后很难发现,而且不能识别不同的用户(没有日志记录)。
Page ▪ 4Βιβλιοθήκη 包过滤型防火墙▪ 优点: ▪ 速度快,费用少,对用户透明; ▪ 缺点: ▪ 维护困难 ▪ 只能阻止一种类型的地址欺骗 ▪ 不能防止数据驱动型攻击 ▪ 有的不支持用户认证 ▪ 过滤器数目越多,路由器执行效率越低 ▪ 不能对网络上的数据提供全面的防护
6.3防火墙的体系结构
1.安装防火墙管理器软件。 管理器软件一般安装在单独的管理主机上,管理主机通常位于管理中 心网络的网管主机上,管理中心为内部防火区的子集,同时管理主 机或管理中心与其他安全区域相比有更严格的访问安全策略。(详 见P155) 2.管理网络卫士防火墙 网络管理员可以通过多种方式管理网络卫士防火墙。管理港式包括本 地管理和远程管理,本地管理即通过Console口登录防火墙进行管理; 远程管理包括使用防火墙集中管理器,或通过Telnet及SSH等多种方 式登录防火墙进行配置管理. (1) 使用Console口登录防火墙。具体方法见P155-157 (2)使用防火墙集中管理器。具体方法见P157-158 3.防火墙的一些策略配置 (1)定义网络区域。(2)定义网络对象。(3)配置访问策略 (4)通信策略。
网络与用户的被保护的内部网络之间的附加网络。 如果侵袭着成功地侵入用户的防火墙的外层领域, 周边网络在侵袭着与用户的内部系统之间提供一 个附加的保护层。
(2)堡垒主机 在屏蔽子网体系结构中,用户把堡垒主机 连接到周边网,这台主机既是接收来自外界连接的主要 入口。对于出站服务可以按照如下任一方式进行。 在外部和内部的路由器上设置数据包过滤来允许内部的 客户端直接访问外部的服务器; 设置代理服务器在堡垒主机上允许来允许内部的客户端 间接地访问外部的服务器。用户也可以设置数据包过滤 来允许内部的客户端在堡垒主机上同代理服务器交谈。 反之亦然,但是禁止内部的客户端与外部之间直接通信。
6.3 防火墙的体系结构
1
双重宿主主机体系结构
2 3
屏蔽主机体系结构
基于代理型防火墙结构
4
屏蔽子网体系结构
6.3.1 双重宿主主机体系结构
基于双重宿主主机结构是最基本的防火墙系统结构。该 体系结构是围绕具有双重宿主的主机计算机而构筑的, 该计算机至少有两个网络接口。 这样的主机可以充当与这些接口相连的网络之间的路由 器,它能够从一个网络到另一个网络发送IP数据包,但 是,双重宿主主机防火墙体系结构禁止这种功能。 IP数据包从一个网络并不是直接发送到其他网络,经过 一个安全检查模块检查后,如果是合法的,则转发到另 一块网卡上,以实现网络的正常通信;如果不合法,则 阻止通信。这样,内外网络直接的IP数据流完全在双宿 主主机的控制之中。
防火墙常见架构的比较
防火墙的x86、NP、ASIC和多核架构的比较随着网络的发展,网络威胁日益严峻,目前各大安全厂商都推出了多核心防火墙,采用多核芯片,终结了x86、NP和ASIC一统天下的时代,终结了高功耗、低稳定性的时代,并且提供了全面的应用安全解决方案。
多核心技术真正实现了千兆的小包吞吐量,相对于以往的X86、ASIC、NP技术,有了革命性的进步。
先从以往的这些架构的优缺点讲起:国内多数安全厂商的产品基于传统的X86架构防火墙,从总线速度来看基于32位PC I总线的X86平台,做为百兆防火墙的方案是没有任何问题的。
但X86平台的防火墙方案,数据从网卡到CPU之间的传输机制是靠“中断”来实现的,中断机制导致在有大量数据包的需要处理的情况下(如:64 Bytes的小包,以下简称小包),X86平台的防火墙吞吐速率不高,大概在30%左右,并且CPU占用会很高。
这是所有基于X86平台的防火墙所共同存在的问题。
因此,基于32位PCI总线的X86平台是不能做为千兆防火墙使用的问题,Intel提出了解决方案,可以把32位的PCI总线升级到了PCI-E ,即:PCI-Express,这样,PCI -E 4X的总线的速度就可以达到2000MB Bytes/S,即:16Gbits/S,并且PCI-E各个PCI设备之间互相独立不共享总线带宽,每个基于PCI-E的网口可以使用的带宽为:2000 MB Bytes/S,即:16Gbits/S,所以基于PCI-E 4X的X86从系统带宽上来说,做为千兆防火墙是没有任何问题的。
但是,基于PCI-E的防火墙数据从网卡到CPU之间传输同样使用“中断”机制来传输数据,所以小包(64 Bytes)的通过率仍然为:30-40%.X86平台的防火墙其最大的缺点就是小包通速率低,只有30%-40%,造成这个问题的主要原因是因为X86平台的中断机制以及X86平台的防火墙所有数据都要经过主CP U处理。
基于ASIC架构的防火墙从架构上改进了中断机制,数据从网卡收到以后,不经过主CPU处理,而是经过集成在系统中的一些芯片直接处理,由这些芯片来完成传统防火墙的功能,如:路由、NAT、防火墙规则匹配等。
防火墙架构
X86架构 ASIC架构 NP架构X86第二代防火墙架构——软件+PC硬件. 国外的第二代防火墙以Cisco和Nokia为代表,而国内以东软、天融信、联想、方正、安氏中国等为代表ASIC的全称为Application Specific Integrated Circuit,意思为专用的系统集成电路,是一种带有逻辑处理的加速处理器,第三代防火墙是以NetScreen 公司为代表的基于ASIC架构的防火墙。
NP 的全称Network Processor是专门为网络数据包处理而设计的可编程处理器,在处理网络分组数据上比通用CPU具有明显的优势。
它对数据包处理的一般性任务进行了优化,如TCP/IP数据的校验和计算、包分类、路由查找等。
硬件结构设计也大多采用高速的接口技术和总线规范,具有较高的I/O能力。
它可以构建一种硬件加速的完全可编程的架构.目前NP的主要提供商是Intel和Motorola,国内基于NP技术开发千兆防火墙的厂商最多。
特点:仍保留基于CPU的PC结构,但不再使用通用操作系统,而使用各类厂商自主研发的专用操作系统;同时,不再以PC的面貌出现,而是一些专用的硬盒子。
它最大的优点是灵活性高,通过软件可完成各类工作,且升级换代非常容易,只需通过网络下载将内置的软件升级。
同样,在其中整合进多种安全功能也轻而易举,2002年某些厂商在防火墙中整合了VPN、杀病毒、IDS或内容过滤等等,就是灵活性带来的好处。
使用ASIC可把一些原先由CPU完成的通用工作用专门的硬件实现,从而在性能上获得突破性的提高。
它也采用专用操作系统和CPU,但事实上,它并不依赖操作系统和CPU的性能,因为它们的作用只有两个:驱动ASIC硬件和管理接口,所以它们只负责总体协调却并不参与任何数据处理工作。
在ASIC高效处理数据时,CPU甚至很空闲。
相比于X86和NP架构,ASIC获得的性能最高,也不存在X86架构操作系统安全的问题,自身具有很好的安全性。
防火墙技术的结构与维护
防火墙技术的结构与维护随着信息化技术的飞速发展,网络安全问题日益突出,信息防护成为企事业单位必须关注的核心问题。
防火墙作为企业网络安全的第一道防线,起到了至关重要的作用。
本文将从防火墙技术的结构和维护两个方面加以阐述。
一、防火墙技术的结构防火墙是指设置在企业网络之间或企业网络与外部网络之间的一种安全设备。
其主要功能是控制网络流量,保护企业网络安全。
防火墙技术的结构可以分为四个方面:1. 硬件结构防火墙的硬件结构主要包括CPU、内存、接口、路由器、交换机等。
硬件结构的配置直接影响防火墙的性能以及性价比。
2. 软件结构防火墙的软件结构主要包括操作系统、防火墙软件和附加软件。
软件结构的安全性和灵活性直接影响防火墙的部署和维护。
3. 策略结构防火墙的策略结构是指规定防火墙要实现的安全策略以及安全策略实现的具体操作。
包括访问控制、服务控制、用户控制等。
4. 网络架构防火墙的网络架构是指控制网络流量的二层和三层基础设施。
包括网络拓扑、IP地址规划、VLAN、VPN等。
二、防火墙技术的维护防火墙技术不仅要具有优良的防护功能,还需要进行定期的维护和升级,以确保其持续有效地保护企业网络。
主要包括以下几方面:1. 安全策略审核和更新企业应制定完善的安全策略并审核其合规性,及时更新安全策略,以适应网络环境变化。
2. 日志审计和备份防火墙应该开启日志功能,对网络流量进行监控,并进行定期备份和审计。
同时,日志数据的保密性也应得到保障。
3. 巡检和性能监测应定期对防火墙硬件、软件、策略、网络架构进行巡检和性能监测,及时解决问题以保证网络流量畅通和企业信息安全。
4. 更新防火墙程序及应用程序随着网络极速发展,防火墙程序以及附加的应用程序会不断更新,因此企业应充分了解相关技术发展动态,并及时升级相关软件。
5. 员工培训和教育企业应加强员工的网络安全教育和培训,提高员工的安全意识和技能,防范企业网络安全风险。
三、结语防火墙技术的结构和维护对于企业网络安全至关重要。
防火墙的基本类型
防火墙的基本类型
防火墙的基本类型包括以下几种:
1. 包过滤型防火墙:这种防火墙根据规则过滤进出网络的数据包,只允许符合规则的数据包通过,能够防止未经授权的访问和攻击。
2. 应用层网关型防火墙:这种防火墙针对特定的应用程序,比如Web应用程序或电子邮件程序,检测并过滤其中的危险数据。
3. 状态感知型防火墙:这种防火墙能够根据连接状态来过滤数据包,只允许符合规则的连接通过,能够有效地防止一些伪装攻击。
4. 混合型防火墙:这种防火墙综合了以上几种类型的特点,可以提供更全面的安全保护。
5. 虚拟专用网络(VPN)防火墙:这种防火墙建立一条加密
的隧道,将远程用户的数据传输加密后通过互联网安全地传输,可以有效地防止黑客攻击和窃取数据。
6. 硬件防火墙:这种防火墙是一种独立的硬件设备,具备独立的处理器、内存和操作系统等,能够在高负载的网络环境下进行快速的数据包处理和过滤。
7. 软件防火墙:这种防火墙是一种应用程序,需要安装在操作系统上,能够监控计算机与网络之间的数据传输,提供基于规
则的数据包过滤和应用程序访问控制等功能。
8. 云防火墙:这种防火墙是一种基于云平台的服务,可以在云端对进出云服务器数据进行监控和防护,能够提供更高效的安全保护,也具有可扩展性和灵活性。
9. 下一代防火墙(NGFW):这种防火墙是在传统的包过滤型防火墙的基础上,加入了更多的功能,如应用程序控制、入侵防御、虚拟专用网络(VPN)等,能够更全面地保护企业网络安全。
10. 入侵检测和预防系统(IDS/IPS):这种防火墙采用特定的技术和算法进行数据包检测,能够监控系统和网络,检测并预防各种入侵攻击,是一种高级的网络安全设备。
防火墙三大体系架构前景分析
防火墙三大体系架构前景分析2004年以来,防火墙市场依然保持了高速的增长,仅第2季度,防火墙市场在整个网络安全市场的份额高达40%以上。
在现有的x86、NP、ASIC架构的防火墙产品中,谁将成为市场的主流?三大架构防火墙产品的不同技术特点是什么?工控机时代渐行渐远目前在国内的信息安全市场上,防火墙多是基于Intel x86系列架构的产品,又被称为工控机防火墙,其具有开发、设计门槛低,技术成熟等优点。
但是,缺陷也是显而易见的,由于x86架构的硬件并非为了网络数据传输而设计,它对数据包的转发性能相对较弱。
并且由于国内安全厂商并不掌握x86架构的核心技术,其BIOS中存在着隐藏的漏洞,有可能影响防火墙的安全可靠性。
而且工控机的产业链条非常复杂,国内厂商在其中能发挥的影响力很有限,不利于国内信息安全产业的长期发展。
未来引领防火墙市场的会是哪一种技术,这是一直以来困扰业界的问题。
随着网络带宽的增长和千兆网络在国内的大规模推广应用,市场对基于高带宽网络中安全设备的需求也迅速增长。
在未来的网络环境下,传统的基于x86体系结构的工控机防火墙已不能满足宽带网络高吞吐量、低时延的要求,而网络处理器(Network Processor)和专用集成电路(ASIC)技术被认为是未来千兆防火墙的主要方向。
三大技术优势互现先来看基于ASIC技术的防火墙。
采用ASIC技术可以为防火墙应用设计专门的数据包,是公认的满足千兆环境骨干级应用的技术方案。
但ASIC技术开发成本高、开发周期长且难度大,而且ASIC技术在国外已经历了10多年的发展,技术成熟、稳定,而国内厂商要采用ASIC技术难度却很大。
NP(网络处理器)是专门为处理数据包而设计的可编程处理器,它具有完全的可编程性、简单的编程模式、最大化系统灵活性、高处理能力、高度功能集成、开放的编程接口以及第三方支持能力。
这些特性使基于NP架构的防火墙与传统防火墙相比,在性能上得到了很大的提高,同时又具有极佳的灵活扩展性。
防火墙的架构与工作方式
防火墙的架构与工作方式王长征(曲阜师范大学日照校区计算机科学学院,山东日照276826)应用科技喃鞫防火墙可以使用户的网络攫刘乏加清晰明了,全面防止≯擎越权限的数据访问(因为有些人登录后的第一件事就是试匿超越权限限制)。
如果没有防火墙的话,你可能会接到许许多多类似这样的报告,比如单位内部的财务掘告刚刚被数万个E嫩i l由p件炸烂。
或者用户的个人主页被人恶意连接到了Pl a yboy。
而报告链接E却指定了另一家色情网站。
碍撇】防火墙;路由器;服务器一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。
屏蔽路由器是—个多端口的I P路由器,它通过对每一个到来的I P包依据组规则进行检查来判断是否对之进行转发。
屏蔽路由器从IP包的包头取得信息,例如f揪号、收发报文的I P地址和端口号、连接标志以至另外一些l P选项,对I P包进行过滤。
代理服务器是防火墙中的一个服务器进程,它能够代替网络用户完成特定的TC P/IP功能。
—个代理服务器本质上是一个应用层的网关,一个为特定网络应用而连接两个网络的网关。
用户就一项T CP/l P应用,比如T e l ne t或者FT P,同代理服务器打交道,代理服务器要求用户提供其要访问的远程主机名。
当用户答复并提供了正确的用户身份及t^证信息后,代理自爱务器接通远程主机,为2个通信点充当中继。
整个过程可以对用户完全透明。
用户提供的用户身份及认证信息可用于用户级的认证。
最简单的认证是:它只由用户标识和口令构成。
但是,如果防火墙是通过I nt er ne t来访问的,应推荐用户使用更强的认证机制,例如一次性口令或回应式系统等。
屏蔽路由器的最大优点就是架构简单且硬件成本较低,而缺点则是建立包过滤规Ⅲ0比较困难,加之屏蔽路由器的管理成本及用户级身份认证的缺乏等。
代理目睫务器的优点在于用户级的身份认证、日志记录和账号管理。
其缺点是要想提供全面的安全保证,就要对每一项服务都建立对应的应用层网关。
防火墙的构成
防火墙的配置
一些防火墙不允许将Web服务器设置在其 外部,在这种情况下要开通防火墙。一般的做 法有如下几种。
1)允许防火墙传递对端口80的请求,访问 请求或被限制到Web站点或从Web站点返回 (假定正在使用Screened Host型防火墙)。
2)可在防火墙机器上安装代理服务器,但 需要一个双宿主网关类型的防火墙。来自Web 服务器的所有访问请求被代理服务器截获后才 传送到服务器,并且对访问请求的回答应直接 返回给请求者。
18:29:52
防火墙的构成
5.防火墙的各种变化和组合 (1)内部路由器
内部路由器(有时也称为阻流路由器)的主 要功能是保护内部网免受来自外部网与参数网 络的侵扰。内部路由器完成防火墙的大部分包 过滤工作。
(2)外部路由器 理论上,外部路由器(有时也称为接触路由 器)既保护参数网络又保护内部网。实际上, 在外部路由器上仅作了一小部分包过滤,它几 乎让所有参数网络的外向请求通过,而外部路 由器与内部路由器的包过滤规则基本上是相同 的。
18:29:52
防火墙的构成
防火墙的构成 防火墙的配置
18:29:52
防火墙的配置 防火墙极大地增强了网络内部和Web站
点的安全性。根据不同的需要,防火墙在网 中的配置有很多种方式。根据防火墙和Web 服务器所处的位置,可以分为三种配置: 1.Web服务器置于防火墙之内 2.Web服务器置于防火墙之外 3.Web服务器置于防火墙之上
18:29:52
图9.45 双宿主机网关式防火墙的构成
防火墙的构成
4.动态防火墙 动态防火墙是解决Web安全的一种防火 墙的新技术。防火墙的某些产品,如一般称 为OS保护程序,安装在操作系统上。 动态防火墙技术(Dynamic Firewall Technology,DFT)与静态防火墙技术主 要区别:①允许任何服务;②拒绝任何服务; ③允许/拒绝任何服务;④动态防火墙技术适 应于网上通信,动态比静态的包过滤模式要 好 ⑤动态防火墙还能适应Web上多样连接提 出的变化及新的要求。
防火墙技术及其参数详解
1. 从软、硬件形式上分为软件防火墙和硬件防火墙以及芯片级防火墙。
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
第一种:软件防火墙软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。
俗称“个人防火墙”。
软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。
防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。
使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
第二种:硬件防火墙这里说的硬件防火墙是指“所谓的硬件防火墙”。
之所以加上"所谓"二字是针对芯片级防火墙说的了。
它们最大的差别在于是否基于专用的硬件平台。
目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。
在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。
值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。
传统硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。
很多防火墙还可以进一步扩展端口数目。
第三种:芯片级防火墙芯片级防火墙基于专门的硬件平台,没有操作系统。
专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。
做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。
这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
软件防火墙和硬件防火墙以及芯片级防火墙。
2. 从防火墙技术分为“包过滤型”和“应用代理型”两大类。
计算机网络应用 从结构上分
计算机网络应用从结构上分
从防火墙结构上来讲大体可以分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
1.单一防火墙
单一主机防火墙是基于主机的最传统的防火墙,独立于其它网络设备,位于网络边界。
这种防火墙其实与一台计算机结构差不多,硬盘是用来存储防火墙所用的基本程序,如包过滤程序、代理服务器程序及日志记录等,用来对通过它的数据包进行过滤。
但它和平常的计算机最大的区别就在于它具备非常高的稳定性、实用性及系统的吞吐性能。
随着防火墙技术的发展及应用需求的提高,原来作为单一主机的防火墙现在已发生了许多变化。
最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能,还有的防火墙已不再是一个独立的硬件实体,而是由多个软、硬件组成的系统,这种防火墙,俗称“分布式防火墙”。
2.路由集成防火墙
路由集成防火墙,也即一台具有安全策略的路由器。
就是在路由器上通过配置访问控制列表(ACL)等安全策略来对数据包进行有效的过滤,从而达到防火墙的功能。
3.分布式防火墙
分布式防火墙不仅位于网络边界,而且也渗透于网络中的每一台主机,对整个内部网络的主机实施保护。
在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。
因此一个防火墙系统就可以彻底保护内部网络。
各主机把任何其它主机发送的通信连接都视为“不可信”的,都需要严格过滤。
而不是传统边界防火墙那样,仅对外部网络发出的通信请求“不信任”。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙的x86、NP、ASIC和多核架构的比较随着网络的发展,网络威胁日益严峻,目前各大安全厂商都推出了多核心防火墙,采用多核芯片,终结了x86、NP和ASIC一统天下的时代,终结了高功耗、低稳定性的时代,并且提供了全面的应用安全解决方案。
多核心技术真正实现了千兆的小包吞吐量,相对于以往的X86、ASIC、NP技术,有了革命性的进步。
先从以往的这些架构的优缺点讲起:国内多数安全厂商的产品基于传统的X86架构防火墙,从总线速度来看基于32位PC I总线的X86平台,做为百兆防火墙的方案是没有任何问题的。
但X86平台的防火墙方案,数据从网卡到CPU之间的传输机制是靠“中断”来实现的,中断机制导致在有大量数据包的需要处理的情况下(如:64 Bytes的小包,以下简称小包),X86平台的防火墙吞吐速率不高,大概在30%左右,并且CPU占用会很高。
这是所有基于X86平台的防火墙所共同存在的问题。
因此,基于32位PCI总线的X86平台是不能做为千兆防火墙使用的问题,Intel提出了解决方案,可以把32位的PCI总线升级到了PCI-E ,即:PCI-Express,这样,PCI -E 4X的总线的速度就可以达到2000MB Bytes/S,即:16Gbits/S,并且PCI-E各个PCI设备之间互相独立不共享总线带宽,每个基于PCI-E的网口可以使用的带宽为:2000 MB Bytes/S,即:16Gbits/S,所以基于PCI-E 4X的X86从系统带宽上来说,做为千兆防火墙是没有任何问题的。
但是,基于PCI-E的防火墙数据从网卡到CPU之间传输同样使用“中断”机制来传输数据,所以小包(64 Bytes)的通过率仍然为:30-40%.X86平台的防火墙其最大的缺点就是小包通速率低,只有30%-40%,造成这个问题的主要原因是因为X86平台的中断机制以及X86平台的防火墙所有数据都要经过主CP U处理。
基于ASIC架构的防火墙从架构上改进了中断机制,数据从网卡收到以后,不经过主CPU处理,而是经过集成在系统中的一些芯片直接处理,由这些芯片来完成传统防火墙的功能,如:路由、NAT、防火墙规则匹配等。
这样数据不经过主CPU处理,不使用中断机制。
但随之而来的问题是,ASIC架构的防火墙是芯片一级的,所有的防火墙动作由芯片来处理。
这些芯片的功能比较单一,要升级维护的开发周期比较长。
无法在芯片一级完成垃圾邮件过滤、网络监控、病毒防护等比较复杂的功能,所以说,ASIC架构用来做功能简单的防火墙,是完全适用的,64 Bytes的小包都可以达到线速。
但是在扩展上通用CPU也是无法和专门的嵌入式CPU比较,并且在总线带宽上也无法承载太多的内部处理数据传输(M ulti-core多核处理器内部是通过高速总线或者交叉矩阵式连接的)。
NP架构实现的原理和ASIC类似,但升级、维护远远好于ASIC 架构。
NP架构在的每一个网口上都有一个网络处理器,即:NPE,用来处理来自网口的数据。
每个网络处理器上所运行的程序使用微码编程,其软件实现的难度比较大,开发周期比ASIC短,但比X8 6长。
采用多核处理器,是在同一个硅晶片上集成了多个独立物理核心,每个核心都具有独立的逻辑结构,包括缓存、执行单元、指令级单元和总线接口等逻辑单元,通过高速总线、内存共享进行通信。
在实际工作中,每个核心都可以达到1Ghz的主频,而且可以在非常节能的方式下运行。
有的多核产品支持500万并发会话64Byte吞吐量达到3G,256Byte以上吞吐达到8G,VPN吞吐达到8G,支持3万VPN通道,支持5万Policy。
每秒新建TCP会话超过20万,每秒处理UDP会话超过50万。
在每秒创建5000TCP会话作为背景流量,可以检测并防御80万包/每秒以上的SYN-FLOOD攻击,更是达到了万兆线速。
一系列的性能测试结果足以傲视众多安全平台。
防火墙x86架构和ASIC架构和NP架构的区别在众多的安全产品中,防火墙产品无疑是保障网络安全的第一道防线,很多企业为了保障自身服务器或数据安全都采用了防火墙。
随着Internet的迅速普及,全球范围内的计算机网络病毒、操作系统漏洞、垃圾邮件等网络安全问题也是层出不穷,网络安全产品和解决方案越来越成为各类网络用户和厂商们的聚焦点,在众多的安全产品中,防火墙产品无疑是保障网络安全的第一道防线,很多企业为了保障自身服务器或数据安全都采用了防火墙。
随着网络应用的增加,对网络带宽提出了更高的要求。
这意味着防火墙要能够以非常高的速率处理数据,于是千兆防火墙逐步崭露头角,频频被运用在金融、电信、教育、气象等大型的行业和机构,以及对安全要求极高的大型企业用户,其市场占有份额已经超过50%;下面就让我们来了解一下千兆防火墙的相关的产品、技术及选购方面的一些知识。
不同构架各具特色从百兆到千兆,最初只是量变。
千兆防火墙在2000年前后就进入了我国市场。
由于百兆网络接口与千兆网络接口的成本相差不大,早期的千兆防火墙仅仅是将百兆接口替换为千兆接口而已。
这种基于X86体系结构的千兆防火墙主体仍然是软件,其性能受到很大制约,无法达到千兆的处理速度。
因此,这些防火墙只是具有千兆接入能力的防火墙,而不是真正具有千兆处理能力的防火墙因此可以说是一种“换汤不换药”的形式改变。
随后几年,随着千兆网络在企业和行业用户中的不断普及,以及用户对性能需求的不断增加,千兆防火墙也逐发生了质变。
这种质的变化首先是人们把目光转移到了专用集成电路(ASIC)和网络处理器(NP)上。
相对于X86架构,基于这些架构的千兆防火墙才是真正的硬件解决方案,能够实现千兆处理速度。
在这里,我们不妨将X86架构、NP和ASIC放在一起进行技术比较,看看不同技术的优缺点。
X86架构最初的千兆防火墙是基于X86架构。
X86架构采用通用CPU和PCI总线接口,具有很高的灵活性和可扩展性,过去一直是防火墙开发的主要平台。
其产品功能主要由软件实现,可以根据用户的实际需要而做相应调整,增加或减少功能模块,产品比较灵活,功能十分丰富。
但其性能发展却受到体系结构的制约,作为通用的计算平台,x86的结构层次较多,不易优化,且往往会受到PCI总线的带宽限制。
虽然PCI总线接口理论上能达到接近2Gbps 的吞吐量,但是通用CPU的处理能力有限,尽管防火墙软件部分可以尽可能地优化,很难达到千兆速率。
同时很多X86架构的防火墙是基于定制的通用操作系统,安全性很大程度上取决于通用操作系统自身的安全性,可能会存在安全漏洞。
ASIC架构相比之下,ASIC防火墙通过专门设计的ASIC芯片逻辑进行硬件加速处理。
ASIC通过把指令或计算逻辑固化到芯片中,获得了很高的处理能力,因而明显提升了防火墙的性能。
新一代的高可编程ASIC采用了更灵活的设计,能够通过软件改变应用逻辑,具有更广泛的适应能力。
但是,ASIC的缺点也同样明显,它的灵活性和扩展性不够,开发费用高,开发周期太长,一般耗时接近2年。
虽然研发成本较高,灵活性受限制、无法支持太多的功能,但其性能具有先天的优势,非常适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。
目前,NetScreen在ASIC防火墙领域占有优势地位,而我国的首信也推出了我国基于自主技术的A SIC千兆防火墙产品。
NP架构NP可以说是介于两者之间的技术,NP是专门为网络设备处理网络流量而设计的处理器,其体系结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进行了专门的优化,可以高效地完成TCP/IP栈的常用操作,并对网络流量进行快速的并发处理。
硬件结构设计也大多采用高速的接口技术和总线规范,具有较高的 I/O能力。
它可以构建一种硬件加速的完全可编程的架构,这种架构的软硬件都易于升级,软件可以支持新的标准和协议,硬件设计支持更高网络速度,从而使产品的生命周期更长。
由于防火墙处理的就是网络数据包,所以基于NP架构的防火墙与X86架构的防火墙相比,性能得到了很大的提高。
NP通过专门的指令集和配套的软件开发系统,提供强大的编程能力,因而便于开发应用,支持可扩展的服务,而且研制周期短,成本较低。
但是,相比于X86架构,由于应用开发、功能扩展受到NP的配套软件的限制,基于NP技术的防火墙的灵活性要差一些。
由于依赖软件环境,所以在性能方面NP不如ASIC。
NP 开发的难度和灵活性都介于ASIC和x86构架之间,应该说,NP是X86架构和ASIC之间的一个折衷。
目前NP的主要提供商是I ntel和 Motorola,国内基于NP技术开发千兆防火墙的厂商最多,联想、紫光比威等都有相关产品推出。
从上面可以看出,X86架构、NP和ASIC各有优缺点。
X86架构灵活性最高,新功能、新模块扩展容易,但性能肯定满足不了千兆需要。
ASIC性能最高,千兆、万兆吞吐速率均可实现,但灵活性最低,定型后再扩展十分困难。
NP则介于两者之间,性能可满足千兆需要,同时也具有一定的灵活性。
三种架构综合比较选购千兆防火墙需要考虑什么在选购千兆防火墙时,用户首先需要明确自己的需求。
安全风险和网络应用决定了用户需求,每个网络的层次、作用、大小和结构各不同,致使这些网络所面临的安全风险不相同,安全需求自然也不相同。
没有重要资产的网络没有必要选择高端防火墙,高安全需求的网络不能选择低安全性的防火墙,这是很浅显的道理。
同样地,只有10M带宽接入互联网的办公机构没有必要去选择千兆防火墙。
其次,在防火墙的安全功能与性能之间做出折衷。
防火墙存在着功能与性能的矛盾,根据预定的安全策略,防火墙在协议栈的不同层次对流量进行检查,决定对流量的控制措施(允许通过或丢弃)。
检查的层次越高,防火墙消耗的资源就越多,花费的时间就越长,性能就会越低。
在应用环境时要考虑网络拓扑,用户规模,流量带宽,通信类型和环境的复杂恶劣程度等。
最后,技术支持与服务,在选择安全产品的时候,厂家或商家的技术支持与服务能力也应该是重要的考虑因素。
从百兆到千兆,最初只是量变。
千兆防火墙在2000年前后就进入了我国市场。
由于百兆网络接口与千兆网络接口的成本相差不大,早期的千兆防火墙仅仅是将百兆接口替换为千兆接口而已。
这种基于X86体系结构的千兆防火墙主体仍然是软件,其性能受到很大制约,无法达到千兆的处理速度。
因此,这些防火墙只是具有千兆接入能力的防火墙,而不是真正具有千兆处理能力的防火墙因此可以说是一种“换汤不换药”的形式改变。
随后几年,随着千兆网络在企业和行业用户中的不断普及,以及用户对性能需求的不断增加,千兆防火墙也逐发生了质变。
这种质的变化首先是人们把目光转移到了专用集成电路(ASIC)和网络处理器(NP)上。
相对于X86架构,基于这些架构的千兆防火墙才是真正的硬件解决方案,能够实现千兆处理速度。