- 1、本文档共16页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
方案概述
防火墙技术比较
通过对目前网络安全系统应用现状的分析,可以看出,用户需要的是性能稳定、运行高速的防火墙产品,以保证应用的业务连续性。
我们觉得,在进行防火墙选择时需要考虑以下几个方面
是否选择硬件或软件防火墙;
是否选择包过滤、代理或状态防火墙;
防火墙平台分析
目前的防火墙从使用平台上有硬件防火墙、软件防火墙两种。
硬件防火墙软件防火墙用专用芯片处理数据包,CPU只作管理之用。
运行在通用操作系统上的能安全控制存取访问的软件,性能依靠于计算机CPU,内存等。使用专用的操作系统平台,避免了通用性操作系统的安全性漏洞。基于众所周知的通用操作系统(如WINDOWS, LINUX, UNIX等),对底层操作系统的安全依赖性很高。
高带宽,高吞吐量,真正线速防火墙。即实际带宽与理论值可以达到一致。
由于操作系统平台的限制,极易造成网络带宽瓶颈实际所能达到的带宽通常只有理论值的20%--70%。管理简单,快捷,更提供Web方式管理。
管理复杂,与系统有关,要求维护人员必须熟悉各种工作站及操作系统的安装及维护。NetScreen-ISG 2000是基于下一代体系结构而完全由Juniper公司设计的面向应用安全的高性能硬件防火墙,其中包括一个第4代安全ASIC,即GigaScreen3、高速微处理器和可扩展的安全模块,可以提供要求最高的网络安全区控制需要的可预测的多千兆位性能,集成了一流的深层检测防火墙、VPN和DoS防护解决方案,因此可以实现安全、可靠的连接和网络及应用级防护功能来保护关键的大流量网络分段。NetScreen-ISG 2000的硬件结构示意图如下:
各模块的功能如下:
1、管理模块:管理模块上有2个1Ghz的PowerPC的CPU,以及1-2GB的内存,主要对会话的第一个数据包进行处理,双 CPU 结构实现了并行处理,提高了整体性能和安全保护能力,策略查找通过FPGA芯片实现。
2、ASIC芯片模块:上有GigaScreen3 的ASIC芯片和512MB的SDRAM,Juniper的硬件防火墙的最新一代安全 ASIC 技术,具有突破性的硬件性能,可达4 Gbps 防火墙吞吐,具有多重内嵌处理器支持新功能的加速,对会话的后续数据包进行稳定的高速转发而不占用管理模块的CPU处理资源;同时抗拒绝服务攻击也基于ASIC芯片实现硬件处理。
3、安全模块:可选项,可配置0-3块。安全模块其实是刀片式IDP,上有2个1Ghz的PowerPC的CPU,以及2GB的内存,让防火墙具备基于单独专用硬件的对应用层流量进行入侵检测和防护处理的能力。
防火墙系统设计
Juniper特点-强大的ASIC功能
Juniper的安全机制采用ASIC,在硬件中处理防火墙访问策略和加密算法,这方面运算的速度是软件类方案不能相比的;同时它还可以省出中央处理器资源用于管理数据流。这种安全加密的ASIC更可与Juniper的ScreenOS操作系统和系统软件紧密地集成起来,与其他基于通用的商用操作系统的安全产品相比,Juniper产品消除了不必要的软件层和安全漏洞。Juniper将安全功能提升到系统层次,更可以节省建立额外平台带来的开支。目前,其他采用PC或工作站作为平台的软件类方案,往往令系统性能大打折扣。
正是由于采用了高性能的专用ASIC芯片,所以Juniper的安全产品的性能不仅仅在实验室网络环境下都能够发挥出高水平,在实际的生产网络环境中同样可以保持高性能。ISG2000对64byte小包的吞吐在2Gbps以上,1518Byte的大包吞吐达4Gbps。
Juniper特点-应用层攻击防护
为进一步提高网络和应用的安全性,Juniper的防火墙上均配置了深层检测(Deep Inspection)服务,以提供应用层级别的攻击防护。
Juniper的深层检测(DI)防火墙被设计用来对Internet上常见的协议(如HTTP, SMTP, IMAP, POP, FTP和DNS等)的应用层保护。对这些协议,深层检测(DI)防火墙采用和数据接收方相同的方式来理解应用层信息。为了精确地理解应用层信息,深层检测(DI)防火墙实施包碎片重组,次序重组,去除无用信息和信息正常化处理。一旦深层检测(DI)防火墙按这些方法重组出了网络流量,它就用协议异常检测和服务域攻击特征匹配的方法来对流量里的攻击进行防护。
作为Juniper最新一代防火墙,ISG2000还提供可扩展的内部插槽,可以插1-3块硬件安全模块(需要NS-ISG-2000-IKT和NS-ISG-SEC),提供高性能的完整的入侵检测和防护(IPS)功能。采用硬件模块Juniper网络公司ISG2000中的应用层防护模块
多种检测方法,包括复合签名、状态签名、协议异常以及后门检测。
开放式签名格式允许管理
您可能关注的文档
- **银行柜组培训方案.doc
- [房地产]永康•锦园售楼部开业庆典策划方案.doc
- [工作总结]护士长述职报告.doc
- [管理学]宿迁市宿城区城镇居民住房现状与需求的调查报告社会调查课程论文.doc
- [广告╱传媒]校园网站建设方案及预算.doc
- [计算机]商业及开源Portal产品对比分析报告.doc
- [建筑]环境、职业健康安全目标、指标管理方案.doc
- [建筑]智能化方案.doc
- [马边舟坝水电站大坝工程施工组织设计方案] 第十六章 环境保护与文明施工措施.docx
- [马边舟坝水电站大坝工程施工组织设计方案] 第十三章 投入工程施工主要械设备.doc
- 第12课 我们小点儿声 课件 二年级道德与法治上册(部编版).ppt
- 11.2我从哪里来(教学课件)二年级道德与法治下册(统编版).ppt
- 第10课 我们不乱扔 课件 二年级道德与法治上册(部编版).ppt
- 1.3过好我们的课余生活 课件五年级道德与法治上册(部编版).ppt
- 第四单元《法律保护我们健康成长》大单元整体学程设计道德与法治六年级上册统编版.pdf
- 第十一课:多姿多彩的民间艺术(分层练习)四年级道法下册 部编版.pdf
- 第八课:大家的“朋友”(分层练习)三年级道法下册 部编版.pdf
- 第5课 我爱我们班 课件 二年级道德与法治上册(部编版).ppt
- 第二单元 我们是公民 大单元整体学程设计道德与法治六年级上册统编版.pdf
- 人教部编版二年级语文下册第五单元单元教学课件.ppt
文档评论(0)