信息安全 - 防火墙技术

中网公 司 李勇
产生背景
• 互联网 的迅 猛发展
• 网络协 议的 脆弱性
• 企业业 务的 需要
• 信任边 界复 杂，缺 乏有 效管
防火墙的作用
• 过滤进 出网络 的数 据包
• 管理进 出网络 的访 问行为
• 封堵某 些禁止 的访 问行为
• 记录通 过防火 墙的 信息内 容和 活
• 对网络 攻击进 行告 警
 防火墙—形态
• 1 ．纯 硬防 火墙： 一般 分为 ASIC （专用集 成电 路）、 NP （通用 网络
处理 器）和 FPCA 3 种核 心处 理器 --- 同时 采 用 MIPS\ARM\POWER PCRISA
芯片 的 CPU 平台处理 器（ CPU 的成 本低）
•ASIC ：如 NETSCREEN ，原 理上性 能最 好，缺 点是 设计复 杂、开 发周 期长
，改 动不灵 活（ 需要更 换芯 片）； 随着通 用硬 件的发 展， 在百兆 通常 的应 用
上已 经没有 优势 ；性能 价格 比也不 占优， 在千 兆上优 势明 显。
•NP ：网络 处理 器是一 种非 基于 ASIC 的 IC 或 IC 芯片 组，利 用软 件编程 ，可
以像 ASIC 那样 快速 地处 理数据 包。 同时升 级芯片 上的 固件增 加新 的 功能，
其固 件可以 有网 络设备 商或 第三方 加载到 处理 器中。 厂商 有
INTER 、 IBM 、摩 托罗 拉、 SIBYTE 等公司 。
•国内出 现的 一般 使用 INTEL 的 NPU ，原理 上性 能界于 ASIC 和通用 INTEL
构架 之间； 灵活 性也是 在中 间。国 内目前 大多 采用 INTER IXP1200 处理 能力
低， 一般需 要多 片并行 工作 才能满 足需求 ，还 需要其 他协 处理芯 片配 合， 对
硬件 设计能 力要 求较高 ，最 终成本 不会太 低同 样在百 兆通 常的应 用上 已经 没
有优 势；同 时在 百兆级 未见 应用， 千兆国 内有 几家在 开发 。
•FPCA 可编程 芯片 。
 防火墙—形态

•2 ．纯 软防 火墙： CHECKPOINT 、 SYMACTEC 、 ISA

•3. 软硬 一体化 防火 墙： 决大多数 国产防火墙。 PC 硬件
+ 通用操作系 统 + 防火墙 软件模块 ，在硬件 平台上运行 Linu x 、
Fre eB SD 、 Sola ri s 等经 过最小 化安全处 理后的操作 系统及继
承的防 火墙软件 。基于共享 系统总成， 接口以及 CPU 的处理 能力
不可能 成倍增加 ，共享总线 的架构还直 接与防火墙网 卡的各种性
能有关 ，网卡越 多，性能影 响越大
 选购需考虑的几点因素
• . 1 、防火 墙自身 的安 全性
• – 主要体现 在系 统（ Linux 、 BSD 等） 自身 设计方
面。
• . 2 、系统 的稳定 性
• – 从权威的 测评 认证机 构获得
• – 实际调查 该防 火墙的 使用量 、用 户评价 。
• – 自己试用
• – 厂商实力 、研 制历史
• . 3 、高性 能
• – 从性能指 标判 断
• . 4 、可靠 性
• – 设计的可 靠性 及冗余 度