• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx

      論千兆防火墻

      2009-07-21 10:06梁柳瑩
      職業(yè)·中旬 2009年6期
      關(guān)鍵詞:百兆瓶頸防火墻

      梁柳瑩

      隨著Internet的迅速普及,全球范圍內(nèi)的計(jì)算機(jī)病毒、操作系統(tǒng)漏洞、垃圾郵件等網(wǎng)絡(luò)安全問題也層出不窮,網(wǎng)絡(luò)安全產(chǎn)品和解決方案越來越成為網(wǎng)絡(luò)用戶和廠商們關(guān)注的熱點(diǎn)。在眾多的安全產(chǎn)品中,防火墻無疑是保障網(wǎng)絡(luò)安全的第一道防線,很多企業(yè)為了保障自身服務(wù)器或數(shù)據(jù)安全都使用了防火墻。隨著千兆網(wǎng)絡(luò)技術(shù)開始大規(guī)模應(yīng)用,寬帶網(wǎng)絡(luò)迅速普及,形成了又一次的寬帶風(fēng)暴:骨干網(wǎng)開始大規(guī)模采用千兆結(jié)構(gòu),百兆網(wǎng)絡(luò)正逐漸從骨干網(wǎng)絡(luò)退到邊緣網(wǎng)絡(luò),并逐步進(jìn)行千兆網(wǎng)改造。這意味著防火墻要能夠以非常高的速度處理數(shù)據(jù),于是千兆防火墻開始嶄露頭角,更多地被運(yùn)用在金融、電信、教育、氣象等大型行業(yè)和機(jī)構(gòu)以及對安全要求極高的大型企業(yè)用戶的網(wǎng)絡(luò)中,其市場占有份額已經(jīng)超過50%。帶寬的增長促使千兆防火墻產(chǎn)品應(yīng)運(yùn)而生,下面筆者試就千兆防火墻的技術(shù)參數(shù)、技術(shù)架構(gòu)、發(fā)展瓶頸及防火墻的選購進(jìn)行論述。

      一、百兆防火墻的不足

      在百兆防火墻時代,國內(nèi)防火墻廠商普遍采用的是通用CPU配合軟件的技術(shù)方案。雖然很多廠家也稱之為硬件防火墻,但實(shí)際上都是基于X86架構(gòu)的服務(wù)器或工控機(jī)。這類防火墻一般運(yùn)行在經(jīng)過裁減的操作系統(tǒng)上(通常是Linux或BSD),所有的數(shù)據(jù)包解析和審查工作都由軟件來完成。雖然這種技術(shù)方案在百兆防火墻市場取得了很大的成功,但由于CPU處理能力和PCI總線速度的制約,在實(shí)際應(yīng)用尤其在小包情況下,這種結(jié)構(gòu)的千兆防火墻遠(yuǎn)遠(yuǎn)達(dá)不到千兆的轉(zhuǎn)發(fā)速度,雙向轉(zhuǎn)發(fā)速率一般為20%以下,難以滿足千兆骨干網(wǎng)絡(luò)的應(yīng)用要求。

      二、千兆防火墻的技術(shù)實(shí)現(xiàn)

      從千兆防火墻硬件實(shí)現(xiàn)技術(shù)看,主要有3大體系結(jié)構(gòu):

      1.IA架構(gòu)

      Intel X86架構(gòu)的硬件以其高靈活性和擴(kuò)展性一直受到防火墻廠商的青睞。國內(nèi)防火墻廠商普遍采用的是基于X86架構(gòu)的服務(wù)器或工控機(jī),運(yùn)行經(jīng)過裁減的操作系統(tǒng)(通常是Linux或Free BSD),并對操作系統(tǒng)的協(xié)議棧進(jìn)行修改以加強(qiáng)其防火墻功能,所有的數(shù)據(jù)包處理都是由軟件完成的。

      這種架構(gòu)由于研發(fā)成本低,在百兆防火墻獲得了很大成功。很多廠商認(rèn)為只要通過提高CPU主頻擴(kuò)大內(nèi)存就能直接滿足千兆環(huán)境的需求,但實(shí)際情況卻并非如此。由于CPU處理能力和PCI總線速度的制約,在實(shí)際應(yīng)用中遠(yuǎn)遠(yuǎn)不能滿足千兆環(huán)境的需求(64字節(jié)包長時,雙向轉(zhuǎn)發(fā)速率一般為20%以下),這種局限在小包情況下尤其突出,所以這種架構(gòu)難以滿足千兆骨干網(wǎng)絡(luò)的應(yīng)用要求。

      2.ASIC架構(gòu)

      ASIC(Application Specific Integrated Circuit)技術(shù)是目前網(wǎng)絡(luò)設(shè)備的主流處理核心技術(shù),它通過把指令或計(jì)算邏輯固化到硬件中獲得很高的處理速度,因而能夠很好地滿足網(wǎng)絡(luò)設(shè)備對性能的要求,適應(yīng)了網(wǎng)絡(luò)帶寬不斷增長的發(fā)展趨勢。

      國外有部分廠商的防火墻產(chǎn)品采用了ASIC專用硬件加速。 然而ASIC最大的缺點(diǎn)是缺乏靈活性,一旦指令或計(jì)算邏輯固化到硬件中,就很難修改升級、增加新的功能。由于目前網(wǎng)絡(luò)環(huán)境中的攻擊手段不斷翻新,因此需要不斷地對防火墻進(jìn)行升級來檢測和阻斷對用戶網(wǎng)絡(luò)的攻擊,保護(hù)用戶的投資。

      另外,設(shè)計(jì)和制作復(fù)雜的ASIC的開發(fā)費(fèi)用高、周期長,一般需要兩年以上的時間,不利于快速推出能夠滿足用戶不斷變化的需求。

      3.NP架構(gòu)

      NP(Network Processor,網(wǎng)絡(luò)處理器)結(jié)合了通用處理器可編程和ASIC線速的優(yōu)點(diǎn),是專門為處理數(shù)據(jù)包而設(shè)計(jì)的可編程處理器,在處理2到4層的分組數(shù)據(jù)上比通用處理器具有更明顯的優(yōu)勢。

      與ASIC相比,NP由于可編程而具有軟件升級能力,滿足了網(wǎng)絡(luò)安全和用戶硬件投資保護(hù)需求。同時又不需要具備開發(fā)基于ASIC技術(shù)的防火墻所需要的大量資金和技術(shù)積累,成為開發(fā)高端千兆防火墻的最佳選擇。

      三、千兆防火墻的根本指標(biāo)參數(shù)

      對于千兆防火墻而言,性能是很重要的指標(biāo)。千兆網(wǎng)絡(luò)環(huán)境下,速度往往會成為防火墻技術(shù)發(fā)展的瓶頸。但是現(xiàn)在標(biāo)準(zhǔn)的千兆防火墻真正達(dá)到標(biāo)準(zhǔn)線速的非常少,而對于線速的高要求,又是千兆防火墻的必備指標(biāo)之一。

      吞吐量測試數(shù)據(jù)、丟包率測試數(shù)據(jù)和延遲測試數(shù)據(jù),是衡量千兆防火墻性能的根本指標(biāo)參數(shù)。以太網(wǎng)吞吐量最大理論值稱為線速,即指網(wǎng)絡(luò)設(shè)備有足夠的能力全速處理最小的數(shù)據(jù)封包轉(zhuǎn)發(fā)。因此一個千兆防火墻系統(tǒng)要達(dá)到千兆線速,必須在全速處理最小的數(shù)據(jù)封包(64字節(jié))轉(zhuǎn)發(fā)時達(dá)到100%吞吐率。當(dāng)前來看,真正達(dá)到線速的防火墻很少。

      四、千兆防火墻的瓶頸

      對于高速發(fā)展了一段時期的千兆防火墻來說,相對于百兆防火墻來說有三大優(yōu)勢,同時也是隱含的三個瓶頸。這就是:數(shù)據(jù)的線速處理能力(性能瓶頸)、深度過濾(安全瓶頸)以及網(wǎng)絡(luò)統(tǒng)一資源管理和審計(jì)監(jiān)控(管理瓶頸)。

      1.線速處理能力

      性能瓶頸歸根到底是體系結(jié)構(gòu)問題,也是最終考驗(yàn)廠商有沒有板卡級、芯片級研發(fā)能力、資源投入和整合能力等核心能力的問題。以傳統(tǒng)網(wǎng)絡(luò)通訊設(shè)備的發(fā)展歷程看,從傳統(tǒng)PCI信息處理到專用芯片(ASIC)是任何網(wǎng)絡(luò)設(shè)備發(fā)展的必經(jīng)之路。而帶寬和處理能力的提升最終將為用戶帶來100%帶寬利用率,從而提升用戶網(wǎng)絡(luò)投資價值。

      2.深度過濾

      深度過濾實(shí)際是考核廠商軟、硬件綜合研發(fā)實(shí)力,以及對安全的理解是否到位。隨著各種病毒、入侵行為的泛濫,保障帶寬前提下的深度內(nèi)容過濾將是另外一個重要的發(fā)展方向。

      3. 網(wǎng)絡(luò)統(tǒng)一資源管理和審計(jì)監(jiān)控

      網(wǎng)絡(luò)統(tǒng)一資源管理和審計(jì)監(jiān)控是對網(wǎng)絡(luò)所有資源和設(shè)備的統(tǒng)一安全管理,包括資產(chǎn)管理、安全審計(jì)、安全威脅報警等一系列管理內(nèi)容。

      另外,防火墻產(chǎn)品的硬件化程度越高,它的網(wǎng)絡(luò)處理能力就越強(qiáng),就越不影響網(wǎng)絡(luò)效率,越可能成為用戶的首選。但是,在實(shí)際應(yīng)用中卻不是這樣。硬件化程度越高的防火墻,價格也就越貴,純硬件防火墻的高價格目前還不是每個千兆網(wǎng)絡(luò)用戶都能接受的。另外,基于NP技術(shù)和ASIC技術(shù)的硬件防火墻雖然是該技術(shù)的發(fā)展趨勢,但目前還屬于前沿技術(shù),還需要不斷完善。因此,用戶在應(yīng)用千兆防火墻的時候,應(yīng)該根據(jù)自己的具體需求來酌情考慮。

      五、千兆防火墻的選購

      1.需要明確自己的需求

      安全風(fēng)險和網(wǎng)絡(luò)應(yīng)用決定了用戶需求,每個網(wǎng)絡(luò)的層次、作用、大小和結(jié)構(gòu)各不相同,致使這些網(wǎng)絡(luò)所面臨的安全風(fēng)險也不相同,安全需求自然也不一樣。沒有重要資產(chǎn)的網(wǎng)絡(luò)沒有必要選擇高端防火墻,高安全需求的網(wǎng)絡(luò)不能選擇低安全性的防火墻,這是很淺顯的道理。同樣,只有10M 帶寬接入互聯(lián)網(wǎng)的辦公機(jī)構(gòu)也沒有必要去選擇千兆防火墻。

      2.在防火墻的安全功能與性能之間折衷

      防火墻存在著功能與性能的矛盾,根據(jù)預(yù)定的安全策略,防火墻在協(xié)議棧的不同層次對流量進(jìn)行檢查,決定對流量的控制措施,即允許通過或丟棄。檢查的層次越高,防火墻消耗的資源越多,花費(fèi)的時間越長,性能就會越低。在應(yīng)用環(huán)境時要考慮網(wǎng)絡(luò)拓?fù)?、用戶?guī)模、流量帶寬、通信類型和環(huán)境的復(fù)雜惡劣程度等。

      3.技術(shù)支持與服務(wù)

      在選擇安全產(chǎn)品的時候,廠家或商家的技術(shù)支持與服務(wù)能力也應(yīng)該是重要的考慮因素。

      (作者單位:廣東肇慶高級技工學(xué)校)

      猜你喜歡
      百兆瓶頸防火墻
      買千兆路由器看接口參數(shù)
      升級寬帶要注意硬件也要升級
      構(gòu)建防控金融風(fēng)險“防火墻”
      突破霧霾治理的瓶頸
      突破瓶頸 實(shí)現(xiàn)多贏
      在舌尖上筑牢抵御“僵尸肉”的防火墻
      年內(nèi)網(wǎng)費(fèi)同比下降約30%
      如何渡過初創(chuàng)瓶頸期
      下一代防火墻要做的十件事
      繞過瓶頸
      404 Not Found

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx
      鹤山市| 亚东县| 兴和县| 绥江县| 乌什县| 仲巴县| 龙游县| 黄平县| 都兰县| 会宁县| 长治县| 兴城市| 平阴县| 焉耆| 梅州市| 利辛县| 永川市| 丘北县| 河间市| 台南县| 甘孜| 商丘市| 岑溪市| 彰化市| 高邑县| 平凉市| 迁西县| 浦县| 盐源县| 三门峡市| 新建县| 泗阳县| 体育| 青浦区| 大关县| 饶河县| 乌拉特后旗| 九江县| 江安县| 南涧| 武邑县|