还剩2页未读,继续阅读
文本内容:
防火墙产品的技术现状防火墙是网络安全的第一道屏障,所占市场最大,安全技术也比较成熟硬件防火墙产品的架构主要分为三类以X86为代表的通用处理器架构、AISC专用集成电路架构以及新近的NPNetProcessor架构防火墙的功能从防火墙的功能来说,主要包含以下几个方面访问控制,如应用ACL进行访问控制、NAT;VPN;路由、认证和加密、日志记录、管理、攻击防范等为了满足多样化的组网需求,降低用户对其它专用设备的需求,减少用户建网成本,防火墙上也常常把其它网络技术结合进来,例如支持DHCPserver、DHCPreplay、动态路由,支持拨号、PPPOE等特性;支持广域网口;支持透明模式桥模式;支持内容过滤如URL过滤、防病毒和IDS等功能状态检测技术状态检测技术要监视每个连接发起到结束的全过程,对于部分协议,如FTP、H.323等协议,是有状态的协议,防火墙必须对这些协议进行分析,以便知道什么时候,从哪个方向允许特定的连接进入和关闭状态防火墙可以对特定的协议进行解码,因此安全性也比较好有的防火墙可以对FTP、SMTP等有害命令进行检测和过滤,但因为在应用层解码分析,处理速度比较慢,为此,有的防火墙采用自适应方式,因此处理速度很快状态防火墙还有一个特色是,当检测到SYNFLOOD攻击时,会启动代理此时,如果是伪造源IP的会话,因为不能完成三层握手,攻击报文就无法到达服务器,但正常访问的报文仍然可达技术发展趋势未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展从国内外历次测试的结果都可以看出,目前防火墙一个很大的局限性是速度不够应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法,其中以采用网络处理器最优,因为网络处理器采用微码编程,可以根据需要随时升级,甚至可以支持IPV6,而采用其它方法就不那么灵活实现高速防火墙,算法也是一个关键,因为网络处理器中集成了很多硬件协处理单元,因此比较容易实现高速对于采用纯CPU的防火墙,就必须有算法支撑,例如ACL算法目前有的应用环境,动辄应用数百乃至数万条规则,没有算法支撑,对于状态防火墙,建立会话的速度会十分缓慢受现有技术的限制,目前...。