防火墙技术原理知识.ppt

CPU + 33M总线 + 10/100/1000M网络接口 CPU + 133M总线 + 10/100/1000M网络接口 CPU + ASIC + 133M总线 + 10/100/1000M网络接口 CPU + NPU + 133M总线 + 10/100/1000M网络接口 CPU + NPU + ASIC + 133M总线 + 10/100/1000M网络接口 n个CPU + n个NPU + n个ASIC + n条总线 + n个10/100/1000网络接口 网络处理器（Network Processor，简称NP）顾名思义即专为网络数据处理而设计的芯片或芯片组。 能够直接完成网络数据处理的一般性任务，如TCP/IP数据的校验和计算、包分类、路由查找等，同时，硬件体系结构的设计也弥补了传统IA体系的不足，它们大多采用高速的接口技术和总线规范，具有较高的I/O能力。 基于网络处理器的网络设备的包处理能力得到了很大提升，很多需要高性能的领域，如千兆交换机、防火墙、路由器的设计都可以采用网络处理器来实现。 防火墙的“胖”与“瘦” “胖”、“瘦”防火墙的定义 “胖”防火墙是指功能大而全的防火墙，它力图将安全功能尽可能多地包含在内，从而成为用户网络的一个安全平台； “瘦”防火墙是指功能少而精的防火墙，它只作访问控制的专职工作，对于综合安全解决方案，则采用多家安全厂商联盟的方式来实现。 胖防火墙的优势 首先是功能全 其次是控制力度细 第三是协作能力强 降低采购和管理成本 胖防火墙的不足 主要表现在性能降低 其次是自身安全性差 还有专业性不强，表现为功能模块的拼凑 第四是稳定性差，系统越大，BUG越多 最后是配置复杂，不合理的配置会带来更大的安全隐患。 瘦防火墙的优势 瘦防火墙的不足 首先是功能单一 其次是整体防护能力较弱 胖瘦防火墙之争 一种观点认为，要采取分工协作，防火墙应该做得精瘦，只做防火墙的专职工作，可采取多家安全厂商联盟的方式来解决； 另一种观点认为，把防火墙做得尽量的胖，把所有安全功能尽可能多地附加在防火墙上，成为一个集成化的网络安全平台。 用户的价值取向一 “胖”防火墙追求的是一站式服务，目前它只适应中小型企业，尤其是低端用户。他们出于经济上的考虑以及管理上的成本，更主要的是出于安全的实际需求，希望一个设备可以为这种小型网络实现整体安全防护，所以对这种大而全的“胖”东西非常感兴趣。 用户的价值取向二 大型用户倾向使用独立安全设备，发挥每种产品最大效果。安全需求广泛，专业性要求强，安全投入较大，自身安全管理能力较高。 针对这类用户，为了要满足多种安全需求，在设计安全解决方案时，通常会考虑以安全管理为核心，以多种安全产品的联动为基础，如防火墙与IDS和防病毒全面互动形成动态防御体系。 防火墙：胖瘦总相宜 随着安全需求的细化、硬件计算能力的增加，胖防火墙和瘦防火墙之间的界限也会逐步走向统一。 一方面硬件处理能力的大幅度提高（ASIS芯片、NP等）使得防火墙可以集成更多的功能模块成为可能； 另一方面安全标准技术的推进，使得不同安全产品之间的联动变得更加容易，这样推出功能更简单性能更高且支持标准联动协议的专业防火墙更为适应市场的需要。 以后更多的趋势是考虑现有成熟安全产品之间如何通过标准的协议和接口进行更好的互动，从而构建一个相当于“胖防火墙”作用的整体防御体系，这个体系将更加灵活、方便、易于构建，而且会具有更大的可扩展性。 构建联动一体的安全体系 无论是“胖”防火墙的集成，还是“瘦”防火墙的联动，安全产品正在朝着体系化的结构发展，所谓“胖瘦”不过是这种体系结构的两种表现方式，“胖”将这种体系表现在一个产品中，而“瘦”将这种体系表现在一组产品或是说一个方案中。 同时，这种体系化的结构需要完善的安全管理，也就是说，通过安全管理中心产品，整合系列安全产品，构架成联动一体的产品体系，实现对用户、资源和策略的统一管理，确保整体解决方案的安全一致性，是构建网络安全系统的大趋势。 IPS让防火墙与IDS走向统一 IPS与IDS简要介绍 IPS注重接入控制，而IDS则进行网络监控； IPS基于策略实现，IDS则只能进行审核跟踪； IDS的职责不是保证网络安全，而是告知网络安全程度几何。 IPS不仅仅是IDS的演化，它具备一定程度的智能处理功能，能实时阻截攻击。 传统的IDS只能被动监视通信，这是通过跟踪交换机端口的信息包来实现的；而IPS则能实现在线监控，主动阻截和转发信息包。通过在线配置，IPS能基于策略设置舍弃信息包或中止连接； 传统的IDS响应机制有限，如重设TCP连接或请求变更防火墙规则都存在诸多不足。 统一的两种方式 紧密集成实现互动 IDP技术与防火墙技术集成到同一个硬件平台上，在统