返回
多核防火墙浅析

多核防火墙浅析

ID:34041012

大小:413.33 KB

页数:5页

时间:2019-03-03

多核防火墙浅析_第1页
多核防火墙浅析_第2页
多核防火墙浅析_第3页
多核防火墙浅析_第4页
多核防火墙浅析_第5页
资源描述:

《多核防火墙浅析》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、万方数据多核防火墙浅析王子军大连辽南船厂辽宁11604l摘要:本文讨论了现今网络安全的重要设备防火墙,在与传统防火墙的比较中详细介绍了多核防火墙,包括构架,原理,以及各种参数。并在对比中指出新一代防火墙的发展方向。关键词:多核防火墙;网络安全;X86lASIClNP0引言随着信息技术的飞速发展,互联网已经成为我们生活中不可或缺的一部分,它给我们的工作学习生活带来了前所未有的方便,与此同时,也将潜在的威胁悄悄的植入其中,对于信息管理人员来说,整个局域网的安全是重中之重,先让我们回顾下近期国内外发生的重大信息安全事故:家乐福中国网站连续

2、两次遭遇黑客攻击被黑,部分红十字会官方网站遭非法入侵,不法分子篡改网站面向全社会发布抗震救灾募捐的专用账号;美超市遭黑客入侵三个月近四百万个信用卡遭泄露等等事件不堪穷举。1防火墙的两大挑战黑客的攻击是随机的,他向网络中植入木马病毒,该病毒会向所有网络发起随机攻击,对于已经修补过漏洞的系统,病毒被拒之门外;但是,一旦发现没有修补漏洞的系统,病毒就会轻而易举的入侵系统,或加以破坏,或发布不良信息,或窃取机密信息,同时,将攻占的系统作为基地再次向外辐射攻击。从这个典型的共计模型中我们可以看到,最为有效的防护方法就是在整个系统外面做好。门卫

3、”,检查进入系统的数据,并加以分析,放行可信正常的数据,阻断那些危险的病毒数据。而这个“门卫”就是我们所要阐述的。防火墙”(图1)。m网络技术和业务的飞速发展,网络中承载的业务类型越来越丰富,关键业务越来越多。从业务类型来看,语音、视频、数据业务实现了在IP网络中的统一承载。从应用业务来看,P2P、Ⅵ'N、数据加速等应用越来越多。各种应用对服务质量、安全、可靠性的要求不尽相同,这就对出口设备的要求越来越高,出口设备出了具备多业务能力的扩展,并还要32瞳略安宝技7lt与匝用硼."为各种业务提供高品质高性能的服务。这对作为出口设备的防火

4、墙提出两大挑战:业务能力的增强即在安全防御的基础上,对ⅦN,P2P限速等应用功能的支持。以及处理性能的提升即多用户的支持、多出口高速率的扩展等。图1攻击模式2传统防火墙分析X86平台通常使用一个或多个主CPu来处理业务数据,网卡芯片和CPU通过PCI总线来传输数据。由于传统的32位PCI总线频率为33MHz,所以,理论通讯速率为:132MBBytes/S即:1056MBits/S.单从PCI通讯的速率上来说是可以满足千兆防火墙的需要,但实际上Pa总线在x86系统中是共享的,也就足说,如果有两个网卡同时传输数据,那么每个网卡所能获得的

5、速率就只有66MBB蛐耐S,即:528Mbi耐S,如果有四个网口同时传输数据,则每个网卡所能获得的速度只有16MBBytes/S,即128Mbit/S.从总线速度来看基于32位PCI总线的X86平台,做为百兆防火墙的方案足没有任何问题的。但x86平台的防火墙方案,数据从网卡到cPu之间的传输机制是靠“中断”来实现万方数据的,中断机制导致在有大量数据包需要处理的情况下(如:“Bytes的小包,以下简称小包),X86平台的防火墙吞吐速率不高,大概在30%左右,并且CPU占用会很高。这是所有基于X86平台的防火墙所共同存在的问题。因此,基

6、于32位PCI总线的X86平台是不能做为千兆防火墙使用的,因为32位PCI总线的通讯速率不能达到千兆防火墙的要求。针对这个问题,Intel提出了解决方案,可以把32位的PCI总线升级到了PCI-E,即:PCI·D【pI岱s,这样,PCI·E4X的总线的速度就可以达到2000MBB蛐耐S,即:16Gbi耐S,并且PCH!各个PCI设备之间互相独立不共享总线带宽,每个基于PCI·E的网口可以使用的带宽为:2000MBBytes/S,即:16Gbit瞒,所以基于PCI·E4X的X86从系统带宽上来说,做为千兆防火墙是没有任何问题的。但是,

7、基于PCI-E的防火墙数据从网卡到CPu之间传输同样使用“中断”机制来传输数据,所以小包(“Bytes)的通过率仍然为:30_40%。x86平台的防火墙其最大的缺点就是小包通速率低,只有30%一40%,造成这个问题的主要原因是因为X86平台的中断机制以及X86平台的防火墙所有数据都要经过主CPU处理。基于ASCI架构的防火墙从架构上改进了中断机制,数据从网卡收到以后,不经过主CPU处理,而是经过集成在系统中的一些芯片直接处理,由这些芯片来完成传统防火墙的功能,如:路由、NAT、防火墙规则匹配等。这样数据不经过主CPU处理,不使用中断

8、机制,理所当然,ASIC是傲为功能简单的防火墙的最佳选择。但随之而来的问题是,ASlC架构的防火墙是芯片一级的,所有的防火墙动作由芯片来处理。这些芯片的功能比较单一,要升级维护的开发周期比较长。无法在芯片一级完成垃圾邮件过滤、网络监控

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。