书籍《网络安全技术与实践》第二篇 边界安全.pptVIP

防火墙的功能与特性 （8）包过滤 IP包过滤的是根据IP包头部信息如源地址和目的地址进行过滤，如果IP头中的协议字段表明封装协议为ICMP、TCP或UDP，那么再根据ICMP头信息（类型和代码值）、TCP头信息（源端口和目的端口）或UDP头信息（源端口和目的端口）进行过滤，其他的还有MAC地址过滤。应用层的包过滤主要包括FTP过滤、基于RPC的应用服务过滤、基于UDP的应用服务过滤以及动态包过滤等。 防火墙的功能与特性 （9）高可用性 网络设备的高可用性是指一台网络设备失效后仍然能够提供网络服务。高端防火墙应具备双机容错功能，要支持多重冗余，实现链路备份、端口备份、热备份、集群备份等实现设备的高可用。 防火墙的功能与特性 （1）LAN接口 包括支持LAN接口类型与支持的最大LAN接口数。防火墙所能保护的网络类型有以太网、快速以太网、千兆以太网、ATM、令牌环及FDDI等。防火墙所支持的局域网络接口数目，是指其能够保护的不同内网数目。 防火墙的功能与特性 （2）服务器平台 指防火墙所运行的操作系统平台（如Linux、UNIX、Win NT、专用安全操作系统等）。 目前大部分防火墙采用专用的安全操作系统，如联想网御采用的是VSP（Versatile Security Platform）通用安全平台，天融信公司采用的是TOS (Topsec Operating System) 操作系统，锐捷的防火墙的操作系统是RG-SecOS。 防火墙的功能与特性 协议支持 指防火墙的非IP协议的支持能力。除支持IP协议之外，还有AppleTalk、DECnet、IPX及NETBEUI等协议。另外就是建立VPN通道的可采用的协议和认证时密钥的协议等，主要有IPSec，PPTP与其他专用协议等。 防火墙的功能与特性 （4）吞吐量 网络中的数据是由一个数据包组成，防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。吞吐量的大小主要由防火墙内网的网卡及程序算法的效率决定。 防火墙的功能与特性 （5）并发连接数 指防火墙或代理服务器对其业务信息流的处理能力，是防火墙能够同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。 三、不同厂家生产的防火墙 1. 核心技术对比 （1）天融信 天融信提出TOPSEC联动技术体系，采用TopASIC安全芯片，采用SoC（System on Chip）技能，芯片内置硬件防火墙、7层数据分析、VPN加密、硬件路由交换单元和快速报文缓存MAC等众多硬件模组，具备包过滤、应用代理、核检测等多项功能， 天融信 构建了适用于中小企业级到电信级各种网络应用需求的NGFWARES、NGFW4000、NGFW4000-UF三大系列60多个型号的防火墙产品。 高端（万兆）防火墙采用并行多处理器系统，中端产品（1000/100兆）采用ASIC，中端（百兆）采用X86，低端产品采用NP。 不同厂家生产的防火墙 （2）启明星辰 天清汉马USG防火墙采用领先的专用MIPS64多核硬件架构，高性能、绿色低功耗，集防火墙、VPN、内容过滤、上网行为管理、抗拒绝服务攻击(Anti-DoS)、NetFlow等多种安全技术于一身，全面支持QoS、高可用性 （HA）、日志审计等功能，同时，可软件升级支持UTM功能，保护用户投资，。可用于政府、能源、金融、教育、大型企业、中小企业、军队等用户的边界安全。 启明星辰 （3）网御星云 网御防火墙分为KingGuard系列（万兆）、Super V系列（千兆）、Power V系列和Smart V（百兆+千兆）系列产品，共计80余款， 网御研发出的新一代防火墙产品将防火墙、IPSEC VPN、SSL VPN、入侵检测与防护系统、虚拟防火墙、漏洞扫描、主动防御、绿色上网、VRRP、集中管理等多项功能集成在一起。 （4）华为 华为Eudemon主要有两个产品系列，其中Eudemon100和200采用的是多核CPU，500和1000采用的是NP网络处理器，两者采用相同基本配置。华Eudemon防火墙300/500/1000采用NP专门处理数据业务，将控制层面和转发层面的业务分离，系统采用模块化结构，功能扩展灵活，处理能力很强。 为 图3- 11 VRP专用软件系统 * 早期的防火墙是基于路由控制的访问控制列表（ACL）防火墙，其过滤功能是从路由设备上分离出来的。多数路由控制设备本身就具有分组过滤功能，网络访问控制可通过交 换控制设备的控制来实现。具有分组过滤功能的交换控制设备可看成具有防火墙功能的产品，由于ACL只是防火