返回
国内外主流防火墙分析

国内外主流防火墙分析

ID:5804887

大小:835.00 KB

页数:7页

时间:2017-12-25

国内外主流防火墙分析_第1页
国内外主流防火墙分析_第2页
国内外主流防火墙分析_第3页
国内外主流防火墙分析_第4页
国内外主流防火墙分析_第5页
资源描述:

《国内外主流防火墙分析》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、7网盾防火墙与国内外主流防火墙分析报告一.防火墙产品类型发展趋势在防火墙十多年的发展中,防火墙厂家对防火墙的分类一直在变化,各个厂家对自己的防火墙产品有不同的标榜。但在我看来,防火墙发展的总趋势都是集中在寻找防火墙性能和功能的平衡点。下面是五种典型的现行的防火墙种类。(一.)包过滤防火墙传统的包过滤对包的检测是工作在网络层,它只是通过逐个检查单个包的地址,协议以及端口等信息来决定是否允许此数据包通过。包过滤的主要优点是由高性能和易于配置,因此尽管包过滤的安全性低,许多厂家仍然不放弃包过滤类型,而且对包过

2、滤进行了大量的功能扩展,如添加代理功能,用户认证,对话层的状态检测等以提高包过滤的安全性能,以求做到保证速度和安全性兼得。(二.)应用代理防火墙应用级防火墙主要工作于应用层。它主要的优点是通过完全隔离内网和外网的通信以及细粒度的内容检测可以达到很强的安全性能。但是它的缺点也很突出,首先它对网络性能影响很大,其次是必须为每一种服务实现一个代理所造成的开发上的麻烦,最后是应用代理防火墙对用户配置所造成的麻烦。所以应用代理防火墙的厂商也不断的想办法提高自己的性能增强自己的竞争力,另一方面也逐步向透明代理过渡以

3、方便用户的使用。(三.)混合型防火墙(Hybrid)由于希望防火墙在功能和处理上能进行融合,保证完善的应用。许多厂家提出了混合型防火墙的概念。他们认为混合型防火墙应该是动态包过滤和透明代理的有机结合,可以做到用户无需知道给他提供服务的到底是用了那些技术,而防火墙根据不同的服务要求提供用户的使用要求和安全策略。而且为了保证性能只有必须使用应用代理才能实现的功能才使用代理。(四.)全状态检测防火墙(FullStateInspection)这是由一个知名防火墙厂家Checkpoint提出的一种新型防火墙,据C

4、heckpoint关于firewall-1的技术文档介绍,该种防火墙既能具有包过滤的功能又能具有代理防火墙的安全性。Firewall-1拥有一个强大的检测模块(InspectionModel),该模块可以分析所有的包通信层,并提取相关的通信及应用状态信息。Firewall-1的检查模块位于操作系统的核心,位于链路层和网络层之间,因此任何包未通过该模块检验通过之前将不会交给更高的协议层处理。据说状态检测可以支持所有主要的因特网服务和上百种应用程序,如e-mail,FTP,Telnet,OrableSQL*

5、Net数据库存取和新兴的多媒体应用程序如RealAudio,VDOLive。(五.)自适应代理防火墙这是NetworkAssociate公司提出的号称新一代防火墙——“自适应代理防火墙“7。在自适应防火墙中,在每个连接通信的开始仍然需要在应用层接受检测,而后面的包可以经过安全规则由自适应代理程序自动的选择是使用包过滤还是代理。自适应代理模块是依靠动态包过滤模块来得知通信连接的情况,当一个连接到来时,动态包过滤将通知代理并提供源和目的的信息,然后自适应代理根据管理员关于“安全与性能“选择的配置来灵活的为每

6、一个连接指定相应的策略。在自适应代理中,动态包过滤允许代理要求新连接的通知,接着代理就可以检查每个具体的连接信息,告诉动态包过滤接下去应该对该包作如何处理,如丢弃,转发还是将包提到应用层检查。动态包过滤对每个连接所采用的过滤规则都是由代理自动调整的。虽然NetworkAssociate的这套自适应代理技术具有一定的先进性,但据说并未完全被该公司所实现,因此该公司的技术文档中很难有关于自适应代理的详细的资料。一.国外防火墙实现技术分析由于国外的网络安全要比我们国内发展得早,而且国外的软硬件技术水平也要比国

7、内高出一节,因此国外的防火墙产品自然比国内的产品要更加成熟和先进。所以我这里将国外防火墙中所运用的先进技术提出来加以分析。这些技术主要分成以下三大类。(一.)性能实现随着网络速度的不断提升,防火墙的性能越来越成为国外厂家关注的问题,他们一般主要从硬件,操作系统和检测方法方面作改进。1.专用硬件使用专用的硬件以NetScreen防火墙最为典型,NetScreen防火墙之所以具有很好的性能是和采用专用硬件设计是分不开的。在每个NetScreen设备中,都有ASIC(ApplicationSpecificIn

8、tegratedCircuit)芯片,这些专用的ASIC芯片主要用来起到加速防火墙策略检查,加密,认证,以及PKI过程功能。例如,所有的规则都存储在一个特定的存储区里,当硬件引擎每次需要检查规则时,就去扫描存储区。因此检查一条规则或20条以上的规则并不会使性能有什么重大的不同。另一方面,为了使硬件和软件处理达到最佳配合,NetScreen使用了高速的多总线体系结构,该体系结构中每个ASIC芯片都配有一个RSIC处理器,SDRAM和以太网接口

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。