| 网站首页 | 产品中心 | 资料中心 | 下载中心 | 图片中心 | 在线提问 | 售前服务 | 售后服务 | 联系我们 | 网站地图 | 

  您现在的位置: 国普科技 >> 资料中心 >> 网络领域资料 >> 综合布线资料 >> 基础资料 >> 文章正文

ATM上的防火墙加速技术
作者:佚名    文章来源:不详    点击数:2184    更新时间:2007-5-18

  防火墙不是什么新技术,但高性能防火墙却是。从前防火墙使用软件来分析每个数据包,然后再做出转发或是丢弃数据包的决定,这就降低了防火墙的速度。

  当管理人员将防火墙连接到低速广域网接入链路上时,防火墙不会形成瓶颈。然而,需要防火墙的安全边缘不总是存在于广域网链路上。如财务部门的网络就需要保护,以免受同一网络环境中其它部门的影响。此外,广域网链路的速度随着Internet的发展而增加,连接到城域网络的多千兆位链路将在今后几年开始普及。在这种速度上,老式防火墙的性能瓶颈问题将会暴露出来。

  新一代防火墙加速器利用流识别技术来消除性能瓶颈,使管理人员可以在自己需要的位置安装防火墙。流是由在特定IP域中(例如,源IP地址、目的地址和TCP端口号)具有相同值的数据包组成的串,防火墙加速器利用硬件对这些域进行分析。

  流的第一个包转向传送到保存安全策略的传统软件防火墙上,然后加速器独立的学会识别和处理(转发、丢弃或监控)随后的包。这就使防火墙具有了线速度的安全功能。防火墙加速器两年前就已问世,并具有10/100Mbps和千兆位以太网接口。

  然而,许多有着最苛求安全需要的网络管理人员却选择ATM作为网络传输媒介,他们这样做是基于下列几个理由:ATM面向连接的架构使它可以抵御拒绝攻击;将带宽配置赋予连接保证了连接的性能;ATM信元的固定长度使高速分组加密变得可行和廉价。

  尽管ATM被经常用在高度安全的网络中,并通常用在广域网接入可信赖边缘上,但是,由于早期加速器不能以线速度分析被分割为53字节长度的IP包,因此早期的防火墙加速器只支持以太网。

  美国国家安全局利用一项技术解决了这个问题,这项技术跟踪ATM包分帧过程来提取每个包的IP包头副本,不耗费任何时间就可将信元重新组装成包。通过选择的商业合作伙伴,这项技术促成了新一代IP/ATM防火墙加速器的诞生。

  利用IP/ATM防火墙加速器,第一个包的信元被转发到防火墙控制处理器(FCP),然后FCP根据其过滤策略来决定是否转发、丢弃或监控数据包。

  转发的包被重新注入到信元流中,并且FCP通知防火墙内的处理器对这个流随后的信元所采取的行动。一台采用这项技术的防火墙加速器可以提供OC-3c或OC-12c接口的选择,而这两种速度都可以执行线速度防火墙功能。

发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
 
  • 上一篇文章:

  • 下一篇文章:

  •  


        工业和信息化部备案管理系统网站 浙ICP备14003890号 浙公网安备33010602013770号  
     服务热线:+86-571-87396126  18868849222  传真:+86-571-87396125   mail:85021133@163.com  点这里留言
     版权所有:杭州国普科技有限公司. Copyright ©2007-2009 Hangzhou Guopu Technology Co., Ltd.
     销售部地址:杭州市西湖区塘苗路2号1503  邮编310013