防火墻的發(fā)展趨勢課件

信息安全產(chǎn)品配置與應(yīng)用Configurationand

ApplicationofInformationSecurityProducts重慶電子工程職業(yè)學(xué)院|路亞信息安全產(chǎn)品配置與應(yīng)用重慶電子工程職業(yè)學(xué)院|路亞1模塊一、防火墻產(chǎn)品配置與應(yīng)用主要內(nèi)容

防火墻概念和作用

防火墻發(fā)展歷程防火墻核心技術(shù)防火墻體系結(jié)構(gòu)防火墻功能與原理防火墻的接入方式防火墻的典型應(yīng)用防火墻性能防火墻局限性防火墻的兩個(gè)爭議模塊一、防火墻產(chǎn)品配置與應(yīng)用主要內(nèi)容2爭議防火墻的胖－瘦之爭防火墻的硬件架構(gòu)之爭爭議防火墻的胖－瘦之爭3防火墻的“胖”與“瘦”

由于防火墻在網(wǎng)絡(luò)中所處的重要位置，因此，人們對防火墻可以說是寄予厚望。現(xiàn)在防火墻正在不斷增加各種各樣的新功能，因此防火墻正在急劇“長胖”。防火墻的“胖”與“瘦”由于防火墻在網(wǎng)絡(luò)中所處的重4胖防火墻的定義“胖”防火墻是指功能大而全的防火墻，它力圖將安全功能盡可能多地包含在內(nèi)，從而成為用戶網(wǎng)絡(luò)的一個(gè)安全平臺(tái)；訪問控制病毒防護(hù)入侵檢測交換路由內(nèi)容過濾信息審計(jì)傳輸加密其他胖防火墻胖防火墻的定義訪問控制病毒防護(hù)入侵檢測交換路由內(nèi)容過濾信息審5胖防火墻的優(yōu)勢與不足優(yōu)勢：首先是功能全其次是控制力度細(xì)第三是協(xié)作能力強(qiáng)降低采購和管理成本不足：主要表現(xiàn)在性能降低其次是自身安全性相對較弱還有專業(yè)性不強(qiáng)，表現(xiàn)為功能模塊的拼湊第四是穩(wěn)定性不強(qiáng)，系統(tǒng)越大，BUG越多最后是配置復(fù)雜，不合理的配置會(huì)帶來更大的安全隱患胖防火墻的優(yōu)勢與不足優(yōu)勢：6訪問控制病毒防護(hù)入侵檢測交換路由內(nèi)容過濾信息審計(jì)傳輸加密其他瘦防火墻安全聯(lián)動(dòng)瘦防火墻的定義“瘦”防火墻是指功能少而精的防火墻，它只作訪問控制的專職工作，對于綜合安全解決方案，則采用多家安全廠商聯(lián)盟的方式來實(shí)現(xiàn)。

訪問控制病毒防護(hù)入侵檢測交換路由內(nèi)容過濾信息審計(jì)傳輸加密其他7瘦防火墻的優(yōu)勢與不足優(yōu)勢：

性能高注重核心功能，專業(yè)性強(qiáng)整體安全性高配置簡單，簡化對管理員的專業(yè)要求不足：功能單一整體防護(hù)能力不能滿足需求整體采購成本較高瘦防火墻的優(yōu)勢與不足優(yōu)勢：8構(gòu)建聯(lián)動(dòng)、統(tǒng)一的動(dòng)態(tài)安全防護(hù)體系無論是“胖”防火墻的集成，還是“瘦”防火墻的聯(lián)動(dòng)，安全產(chǎn)品正在朝著體系化的結(jié)構(gòu)發(fā)展，所謂“胖瘦”不過是這種體系結(jié)構(gòu)的具體表現(xiàn)方式，“胖”將這種體系表現(xiàn)在一個(gè)產(chǎn)品中，而“瘦”將這種體系表現(xiàn)在一系列產(chǎn)品或是說一個(gè)整體方案中。同時(shí)，不管哪種體系結(jié)構(gòu)，都必須通過安全管理中心來監(jiān)控、協(xié)調(diào)、管理網(wǎng)絡(luò)中的其他安全產(chǎn)品和網(wǎng)絡(luò)產(chǎn)品，構(gòu)建聯(lián)動(dòng)、統(tǒng)一的動(dòng)態(tài)安全防護(hù)體系。

構(gòu)建聯(lián)動(dòng)、統(tǒng)一的動(dòng)態(tài)安全防護(hù)體系無論是“胖”防火墻的集成，9爭議防火墻的胖－瘦之爭防火墻的硬件架構(gòu)之爭爭議防火墻的胖－瘦之爭10防火墻硬件架構(gòu)基于X86體系的通用CPU架構(gòu)基于網(wǎng)絡(luò)處理器的NPU架構(gòu)

基于專用處理芯片的ASIC架構(gòu)防火墻硬件架構(gòu)基于X86體系的通用CPU架構(gòu)11基于X86架構(gòu)的防火墻X86架構(gòu)防火墻中，其CPU具有高靈活性、高擴(kuò)展性的特性；通用CPU具有體系化的指令集和系統(tǒng)結(jié)構(gòu)，容易支持復(fù)雜的運(yùn)算和開發(fā)新的功能；基于X86架構(gòu)防火墻的處理速度和能力能夠很好的適應(yīng)各種百兆網(wǎng)絡(luò)環(huán)境和一般千兆網(wǎng)絡(luò)環(huán)境的需求；基于X86防火墻由于受CPU處理能力和PCI總線的制約，在更高的千兆環(huán)境下其性能和功能則日益不能滿足于需求；基于X86架構(gòu)的防火墻X86架構(gòu)防火墻中，其CPU具有高靈活12基于NPU架構(gòu)的防火墻網(wǎng)絡(luò)處理器NPU則是專門為處理數(shù)據(jù)包而設(shè)計(jì)的可編程處理器，同時(shí)，其硬件體系結(jié)構(gòu)的設(shè)計(jì)大多采用高速的接口技術(shù)和總線規(guī)范，具有較高的I/O能力；NP架構(gòu)防火墻采用的是微引擎編程，在它的每一個(gè)網(wǎng)口上都有一個(gè)網(wǎng)絡(luò)處理器（NPU），具有很強(qiáng)的編程靈活性，是一個(gè)高度整合的，可編程的數(shù)據(jù)處理器。因此，NP架構(gòu)實(shí)質(zhì)是以軟件編碼方式處理來自各個(gè)網(wǎng)口的數(shù)據(jù)轉(zhuǎn)發(fā)。在實(shí)際編碼中，微引擎編程難度是比較大的，需要根據(jù)實(shí)踐經(jīng)驗(yàn)不斷的總結(jié)。一般來說，通過微碼（微引擎）仿真便可以發(fā)現(xiàn)和定位大多數(shù)問題，但是這種仿真與硬件仿真還是有很大的區(qū)別的，最終也會(huì)導(dǎo)致NP防火墻產(chǎn)品綜合成本較高，穩(wěn)定性開發(fā)周期長，相比之下，其成熟性遠(yuǎn)不及ASIC和IntelIA架構(gòu)。

基于NPU架構(gòu)的防火墻網(wǎng)絡(luò)處理器NPU則是專門為處理數(shù)據(jù)包而13基于ASIC專用芯片架構(gòu)的防火墻，通過專用數(shù)據(jù)處理芯片來工作，是公認(rèn)的千兆線速防火墻，特別適用于高端千兆網(wǎng)絡(luò)環(huán)境下。傳統(tǒng)的ASIC芯片技術(shù)的最大不足就是缺乏靈活性，開發(fā)難度大。一旦指令或計(jì)算邏輯固化到硬件中，就很難修改升級、增加新的功能。而且，ASIC設(shè)計(jì)和制造周期長，研發(fā)費(fèi)用高。現(xiàn)代的ASIC芯片技術(shù)增加了可編程性，從而能夠同時(shí)滿足靈活性和高性能的要求。從實(shí)現(xiàn)功能方面看，ASIC防火墻可以很容易地集成VPN、內(nèi)容過濾和防病毒等功能。基于ASIC架構(gòu)的防火墻基于ASIC專用芯片架構(gòu)的防火墻，通過專用數(shù)據(jù)處理芯片來工作14防火墻硬件架構(gòu)的發(fā)展趨勢最佳組合：在系統(tǒng)控制與管理、數(shù)據(jù)高速處理轉(zhuǎn)發(fā)等方面，通用CPU和可編程ASIC將各司其職，共同為防火墻系統(tǒng)提供靈活的服務(wù)?。阑饓τ布軜?gòu)的發(fā)展趨勢最佳組合：＋15謝謝！謝謝！16信息安全產(chǎn)品配置與應(yīng)用Configurationand

ApplicationofInformationSecurityProducts重慶電子工程職業(yè)學(xué)院|路亞信息安全產(chǎn)品配置與應(yīng)用重慶電子工程職業(yè)學(xué)院|路亞17模塊一、防火墻產(chǎn)品配置與應(yīng)用主要內(nèi)容

防火墻概念和作用

防火墻發(fā)展歷程防火墻核心技術(shù)防火墻體系結(jié)構(gòu)防火墻功能與原理防火墻的接入方式防火墻的典型應(yīng)用防火墻性能防火墻局限性防火墻的兩個(gè)爭議模塊一、防火墻產(chǎn)品配置與應(yīng)用主要內(nèi)容18爭議防火墻的胖－瘦之爭防火墻的硬件架構(gòu)之爭爭議防火墻的胖－瘦之爭19防火墻的“胖”與“瘦”

由于防火墻在網(wǎng)絡(luò)中所處的重要位置，因此，人們對防火墻可以說是寄予厚望?，F(xiàn)在防火墻正在不斷增加各種各樣的新功能，因此防火墻正在急劇“長胖”。防火墻的“胖”與“瘦”由于防火墻在網(wǎng)絡(luò)中所處的重20胖防火墻的定義“胖”防火墻是指功能大而全的防火墻，它力圖將安全功能盡可能多地包含在內(nèi)，從而成為用戶網(wǎng)絡(luò)的一個(gè)安全平臺(tái)；訪問控制病毒防護(hù)入侵檢測交換路由內(nèi)容過濾信息審計(jì)傳輸加密其他胖防火墻胖防火墻的定義訪問控制病毒防護(hù)入侵檢測交換路由內(nèi)容過濾信息審21胖防火墻的優(yōu)勢與不足優(yōu)勢：首先是功能全其次是控制力度細(xì)第三是協(xié)作能力強(qiáng)降低采購和管理成本不足：主要表現(xiàn)在性能降低其次是自身安全性相對較弱還有專業(yè)性不強(qiáng)，表現(xiàn)為功能模塊的拼湊第四是穩(wěn)定性不強(qiáng)，系統(tǒng)越大，BUG越多最后是配置復(fù)雜，不合理的配置會(huì)帶來更大的安全隱患胖防火墻的優(yōu)勢與不足優(yōu)勢：22訪問控制病毒防護(hù)入侵檢測交換路由內(nèi)容過濾信息審計(jì)傳輸加密其他瘦防火墻安全聯(lián)動(dòng)瘦防火墻的定義“瘦”防火墻是指功能少而精的防火墻，它只作訪問控制的專職工作，對于綜合安全解決方案，則采用多家安全廠商聯(lián)盟的方式來實(shí)現(xiàn)。

訪問控制病毒防護(hù)入侵檢測交換路由內(nèi)容過濾信息審計(jì)傳輸加密其他23瘦防火墻的優(yōu)勢與不足優(yōu)勢：

性能高注重核心功能，專業(yè)性強(qiáng)整體安全性高配置簡單，簡化對管理員的專業(yè)要求不足：功能單一整體防護(hù)能力不能滿足需求整體采購成本較高瘦防火墻的優(yōu)勢與不足優(yōu)勢：24構(gòu)建聯(lián)動(dòng)、統(tǒng)一的動(dòng)態(tài)安全防護(hù)體系無論是“胖”防火墻的集成，還是“瘦”防火墻的聯(lián)動(dòng)，安全產(chǎn)品正在朝著體系化的結(jié)構(gòu)發(fā)展，所謂“胖瘦”不過是這種體系結(jié)構(gòu)的具體表現(xiàn)方式，“胖”將這種體系表現(xiàn)在一個(gè)產(chǎn)品中，而“瘦”將這種體系表現(xiàn)在一系列產(chǎn)品或是說一個(gè)整體方案中。同時(shí)，不管哪種體系結(jié)構(gòu)，都必須通過安全管理中心來監(jiān)控、協(xié)調(diào)、管理網(wǎng)絡(luò)中的其他安全產(chǎn)品和網(wǎng)絡(luò)產(chǎn)品，構(gòu)建聯(lián)動(dòng)、統(tǒng)一的動(dòng)態(tài)安全防護(hù)體系。

構(gòu)建聯(lián)動(dòng)、統(tǒng)一的動(dòng)態(tài)安全防護(hù)體系無論是“胖”防火墻的集成，25爭議防火墻的胖－瘦之爭防火墻的硬件架構(gòu)之爭爭議防火墻的胖－瘦之爭26防火墻硬件架構(gòu)基于X86體系的通用CPU架構(gòu)基于網(wǎng)絡(luò)處理器的NPU架構(gòu)

基于專用處理芯片的ASIC架構(gòu)防火墻硬件架構(gòu)基于X86體系的通用CPU架構(gòu)27基于X86架構(gòu)的防火墻X86架構(gòu)防火墻中，其CPU具有高靈活性、高擴(kuò)展性的特性；通用CPU具有體系化的指令集和系統(tǒng)結(jié)構(gòu)，容易支持復(fù)雜的運(yùn)算和開發(fā)新的功能；基于X86架構(gòu)防火墻的處理速度和能力能夠很好的適應(yīng)各種百兆網(wǎng)絡(luò)環(huán)境和一般千兆網(wǎng)絡(luò)環(huán)境的需求；基于X86防火墻由于受CPU處理能力和PCI總線的制約，在更高的千兆環(huán)境下其性能和功能則日益不能滿足于需求；基于X86架構(gòu)的防火墻X86架構(gòu)防火墻中，其CPU具有高靈活28基于NPU架構(gòu)的防火墻網(wǎng)絡(luò)處理器NPU則是專門為處理數(shù)據(jù)包而設(shè)計(jì)的可編程處理器，同時(shí)，其硬件體系結(jié)構(gòu)的設(shè)計(jì)大多采用高速的接口技術(shù)和總線規(guī)范，具有較高的I/O能力；NP架構(gòu)防火墻采用的是微引擎編程，在它的每一個(gè)網(wǎng)口上都有一個(gè)網(wǎng)絡(luò)處理器（NPU），具有很強(qiáng)的編程靈活性，是一個(gè)高度整合的，可編程的數(shù)據(jù)處理器。因此，NP架構(gòu)實(shí)質(zhì)是以軟件編碼方式處理來自各個(gè)網(wǎng)口的數(shù)據(jù)轉(zhuǎn)發(fā)。在實(shí)際編碼中，微引擎編程難度是比較大的，需要根據(jù)實(shí)踐經(jīng)驗(yàn)不斷的總結(jié)。一般來說，通過微碼（微引擎）仿真便可以發(fā)現(xiàn)和定位大多數(shù)問題，但是這種仿真與硬件仿真還是有很大的區(qū)別的，最終也會(huì)導(dǎo)致NP防火墻產(chǎn)品綜合成本較高，穩(wěn)定性開發(fā)周期長，相比之下，其成熟性遠(yuǎn)不及ASIC和IntelIA架構(gòu)。

基于NPU架構(gòu)的防火墻網(wǎng)絡(luò)處理器NPU則是專門為處理數(shù)據(jù)包而29基于ASIC專用芯片架構(gòu)的防火墻，通過專用數(shù)據(jù)處理芯片來工作，是公認(rèn)的千兆線速防火墻，特別適用于高端千兆網(wǎng)絡(luò)環(huán)境下。傳統(tǒng)的ASIC芯片技術(shù)的最大不足就是缺乏靈活性，開發(fā)難度大。一旦指令或計(jì)算邏輯固化到硬件中，就很難修改升級、增加新的功能。而且，ASIC設(shè)計(jì)和制造周期長，研發(fā)費(fèi)用高?，F(xiàn)代的ASIC芯片技術(shù)增加了可編程