云安全产品配置与应用 产品配置与实践 03.TCSP 防火墙技术原理.pptVIP

并发连接数 定义：指数据包穿越防火墙时同时建立的最大连接数 。 衡量标准：并发连接数主要用来测试防火墙建立和维持TCP连接的性能，并发连接数越大，防火墙的处理性能越高。 并发连接数指标可以用来衡量穿越防火墙时同时建立的最大连接数 并发连接 并发连接 防火墙基本概念 防火墙发展历程 防火墙核心技术 防火墙体系结构 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议 目录 防火墙的局限性 防火墙虽然是保护网络安全的基础性设施，但是它还存在着一些不易防范的安全威胁： 首先防火墙不能防范未经过防火墙或绕过防火墙的攻击。例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与Internet的直接连接。 防火墙基于数据包包头信息的检测阻断方式，主要对主机提供或请求的服务进行访问控制，无法阻断通过开放端口流入的有害流量，并不是对蠕虫或者黑客攻击的解决方案。 另外，防火墙很难防范来自于网络内部的攻击或滥用。 防火墙基本概念 防火墙发展历程 防火墙核心技术 防火墙体系结构 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议 目录 防火墙的胖－瘦之争 防火墙的硬件架构之争 争议 防火墙的“胖”与“瘦” 由于防火墙在网络中所处的重要位置，因此，人们对防火墙可以说是寄予厚望。现在防火墙正在不断增加各种各样的新功能，因此防火墙正在急剧“长胖”。 “胖”防火墙是指功能大而全的防火墙，它力图将安全功能尽可能多地包含在内，从而成为用户网络的一个安全平台； 胖防火墙的定义 访问控制 病毒防护 入侵检测 交换路由 内容过滤 信息审计 传输加密 其他 胖防火墙 胖防火墙的优势与不足 优势： 首先是功能全 其次是控制力度细 第三是协作能力强 降低采购和管理成本 不足： 主要表现在性能降低 其次是自身安全性相对较弱 还有专业性不强，表现为功能模块的拼凑 第四是稳定性不强，系统越大，BUG越多 最后是配置复杂，不合理的配置会带来更大的安全隐患 访问控制 病毒防护 入侵检测 交换路由 内容过滤 信息审计 传输加密 其他 瘦防火墙 安全联动 “瘦”防火墙是指功能少而精的防火墙，它只作访问控制的专职工作，对于综合安全解决方案，则采用多家安全厂商联盟的方式来实现。 瘦防火墙的定义 瘦防火墙的优势与不足 优势： 性能高 注重核心功能，专业性强 整体安全性高 配置简单，简化对管理员的专业要求 不足： 功能单一 整体防护能力不能满足需求 整体采购成本较高 构建联动、统一的动态安全防护体系 无论是“胖”防火墙的集成，还是“瘦”防火墙的联动，安全产品正在朝着体系化的结构发展，所谓“胖瘦”不过是这种体系结构的具体表现方式，“胖”将这种体系表现在一个产品中，而“瘦”将这种体系表现在一系列产品或是说一个整体方案中。 同时，不管哪种体系结构，都必须通过安全管理中心来监控、协调、管理网络中的其他安全产品和网络产品，构建联动、统一的动态安全防护体系。 争议 防火墙的胖－瘦之争 防火墙的硬件架构之争 防火墙硬件架构 基于X86体系的通用CPU架构 基于网络处理器的NPU架构 基于专用处理芯片的ASIC架构 基于X86架构的防火墙 X86架构防火墙中，其CPU具有高灵活性、高扩展性的特性； 通用CPU具有体系化的指令集和系统结构，容易支持复杂的运算和开发新的功能； 基于X86架构防火墙的处理速度和能力能够很好的适应各种百兆网络环境和一般千兆网络环境的需求； 基于X86防火墙由于受CPU处理能力和PCI总线的制约，在更高的千兆环境下其性能和功能则日益不能满足于需求； 网络处理器NPU则是专门为处理数据包而设计的可编程处理器，同时，其硬件体系结构的设计大多采用高速的接口技术和总线规范，具有较高的I/O能力； NP架构防火墙采用的是微引擎编程，在它的每一个网口上都有一个网络处理器（NPU），具有很强的编程灵活性，是一个高度整合的，可编程的数据处理器。因此，NP架构实质是以软件编码方式处理来自各个网口的数据转发。 在实际编码中，微引擎编程难度是比较大的，需要根据实践经验不断的总结。一般来说，通过微码（微引擎）仿真便可以发现和定位大多数问题，但是这种仿真与硬件仿真还是有很大的区别的，最终也会导致NP防火墙产品综合成本较高，稳定性开发周期长，相比之下，其成熟性远不及ASIC和Intel IA 架构。 基于NPU架构的防火墙 基于ASIC架构的防火墙 基于ASIC专用芯片架构的防火墙，通过专用数据处理芯片来工作，是公认的千兆线速防火墙，特别适用于高端千兆网络环境下。 传统的ASIC芯片技术的最大不足