防火墻技術原理演示文稿

防火墻技術原理演示文稿當前第1頁\共有77頁\編于星期六\19點防火墻技術原理當前第2頁\共有77頁\編于星期六\19點防火墻基本概念防火墻發(fā)展歷程防火墻核心技術防火墻功能與原理防火墻的接入方式防火墻的典型應用防火墻性能防火墻局限性防火墻的兩個爭議目錄當前第3頁\共有77頁\編于星期六\19點一種高級訪問控制設備，置于不同網(wǎng)絡安全域之間的一系列部件的組合，它是不同網(wǎng)絡安全域間通信流的唯一通道，能根據(jù)企業(yè)有關的安全政策控制（允許、拒絕、監(jiān)視、記錄）進出網(wǎng)絡的訪問行為。兩個安全域之間通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據(jù)訪問控制規(guī)則決定進出網(wǎng)絡的行為防火墻的概念當前第4頁\共有77頁\編于星期六\19點防火墻基本概念

防火墻發(fā)展歷程防火墻核心技術防火墻功能與原理防火墻的接入方式防火墻的典型應用防火墻性能防火墻局限性防火墻的兩個爭議目錄當前第5頁\共有77頁\編于星期六\19點基于路由器的防火墻軟件防火墻的初級形式，具有審計和告警功能對數(shù)據(jù)包的訪問控制過濾通過專門的軟件實現(xiàn)與第一代防火墻相比，安全性提高了，價格降低了在路由器中通過ACL規(guī)則來實現(xiàn)對數(shù)據(jù)包的控制；過濾判斷依據(jù)：地址、端口號、協(xié)議號等特征是批量上市的專用軟件防火墻產(chǎn)品安裝在通用操作系統(tǒng)之上安全性依靠軟件本身和操作系統(tǒng)本身的整體安全防火墻廠商具有操作系統(tǒng)的源代碼，并可實現(xiàn)安全內(nèi)核功能強大，安全性很高易于使用和管理是目前廣泛應用的防火墻產(chǎn)品基于安全操作系統(tǒng)的防火墻基于通用操作系統(tǒng)的防火墻防火墻工具套防火墻的發(fā)展歷程當前第6頁\共有77頁\編于星期六\19點防火墻基本概念防火墻發(fā)展歷程

防火墻核心技術防火墻體系結構防火墻功能與原理防火墻的接入方式防火墻的典型應用防火墻性能防火墻局限性防火墻的兩個爭議目錄當前第7頁\共有77頁\編于星期六\19點包過濾（Packetfiltering）：工作在網(wǎng)絡層，僅根據(jù)數(shù)據(jù)包頭中的IP地址、端口號、協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。應用代理（ApplicationProxy）：工作在應用層，通過編寫不同的應用代理程序，實現(xiàn)對應用層數(shù)據(jù)的檢測和分析。狀態(tài)檢測（StatefulInspection）：工作在2~4層，訪問控制方式與1同，但處理的對象不是單個數(shù)據(jù)包，而是整個連接，通過規(guī)則表和連接狀態(tài)表，綜合判斷是否允許數(shù)據(jù)包通過。完全內(nèi)容檢測（Compelete

ContentInspection）：工作在2~7層，不僅分析數(shù)據(jù)包頭信息、狀態(tài)信息，而且對應用層協(xié)議進行還原和內(nèi)容分析，有效防范混合型安全威脅。防火墻的檢測與過濾技術應用層傳輸層IP層網(wǎng)絡接口層DataSegmentPacketFrameBitFlow當前第8頁\共有77頁\編于星期六\19點防火墻基本概念防火墻發(fā)展歷程防火墻核心技術防火墻功能與原理防火墻的接入方式防火墻的典型應用防火墻性能防火墻局限性防火墻的兩個爭議目錄當前第9頁\共有77頁\編于星期六\19點防火墻的作用集中的訪問控制集中的加密保護集中的認證授權集中的內(nèi)容檢查集中的病毒防護集中的郵件過濾集中的流量控制集中的安全審計當前第10頁\共有77頁\編于星期六\19點基本功能地址轉(zhuǎn)換訪問控制VLAN支持帶寬管理（QoS）入侵檢測和攻擊防御用戶認證IP/MAC綁定動態(tài)IP環(huán)境支持數(shù)據(jù)庫長連接應用支持路由支持ADSL撥號功能SNMP網(wǎng)管支持日志審計高可用性防火墻的功能擴展功能防病毒VPNIPSECVPNPPTP/L2TP當前第11頁\共有77頁\編于星期六\19點Internet4HostA受保護網(wǎng)絡HostCHostD15防火墻Eth2：3Eth0：數(shù)據(jù)IP報頭數(shù)據(jù)IP報頭隱藏了內(nèi)部網(wǎng)絡的結構

內(nèi)部網(wǎng)絡可以使用私有IP地址公開地址不足的網(wǎng)絡可以使用這種方式提供IP復用功能地址轉(zhuǎn)換(NAT)當前第12頁\共有77頁\編于星期六\19點Internet公開服務器可以使用私有地址

隱藏內(nèi)部網(wǎng)絡的結構WWWFTPMAILDNSMAP：80TO：80MAP：21TO：21MAP：53TO：53MAP：25TO：25MAP(地址/端口映射)當前第13頁\共有77頁\編于星期六\19點HostCHostD防火墻的基本訪問控制功能AccessnattoanypassAccesstoblockAccessdefaultpass規(guī)則匹配成功基于源IP地址基于目的IP地址基于源端口基于目的端口基于時間基于用戶基于流量基于文件基于網(wǎng)址基于MAC地址當前第14頁\共有77頁\編于星期六\19點時間控制策略HostCHostD在防火墻上制定基于時間的訪問控制策略上班時間不允許訪問Internet上班時間可以訪問公司的網(wǎng)絡Internet當前第15頁\共有77頁\編于星期六\19點QoS帶寬管理InternetWWWMailDNS財務部子網(wǎng)采購部子網(wǎng)出口帶寬512KDMZ區(qū)保留256K分配70K帶寬分配90K帶寬分配96K帶寬DMZ區(qū)域內(nèi)部網(wǎng)絡總帶寬512K內(nèi)網(wǎng)256KDMZ256K70K90K96K+++財務子網(wǎng)采購子網(wǎng)生產(chǎn)子網(wǎng)生產(chǎn)部子網(wǎng)當前第16頁\共有77頁\編于星期六\19點防火墻具有內(nèi)置的IDS模塊，可以有效檢測并抵御常見的攻擊行為，用戶通過簡單設置即可保護指定的網(wǎng)絡對象免于受到以下類型的攻擊：1.統(tǒng)計型攻擊，包括：SynFlood、UDPFLOOD、ICMPFLOOD、IPSWEEP、PORTSCAN。2.異常包攻擊，包括：Land、Smurf、PingofDeath、Winnuke、TcpScan、IpOption等

內(nèi)置入侵檢測功能當前第17頁\共有77頁\編于星期六\19點抗DOS攻擊功能防火墻的SYN代理實現(xiàn)原理:在服務器和外部網(wǎng)絡之間部署防火墻系統(tǒng);防火墻在收到客戶端的Syn包后，防火墻代替服務器向客戶端發(fā)送Syn/Ack包;如果防火墻收到客戶端的Ack信息，表明訪問正常,由防火墻向服務器發(fā)送Syn包并完成后續(xù)的TCP握手,建立客戶端到服務器的連接。通過這種Syn代理技術，保證每個Syn包源的真實有效性，確保虛假請求不被發(fā)往服務器，從而徹底防范對服務器的Syn-Flood攻擊。SYNSYN/ACKACKSYNSYN/ACKACKSYNSYN/ACKACKClientServerSYNSYN當前第18頁\共有77頁\編于星期六\19點HostCHostDHostBHostA受保護網(wǎng)絡InternetIDS黑客發(fā)起攻擊發(fā)送通知報文驗證報文并采取措施發(fā)送響應報文識別出攻擊行為阻斷連接或者報警等與IDS的安全聯(lián)動當前第19頁\共有77頁\編于星期六\19點

豐富的認證方式和第三方認證支持InternetRADIUS服務器OTP認證服務器liming******防火墻將認證信息傳給真正的RADIUS服務器進行認證將認證結果傳給防火墻本地認證、內(nèi)置OTP服務器認證支持第三方RADIUS服務器認證支持TACAS/TACAS+服務器認證支持S/KEY、SECUID、VIECA、LDAP、域認證等認證根據(jù)認證結果決定用戶對資源的訪問權限當前第20頁\共有77頁\編于星期六\19點InternetHostA

HostBHostCHostD00-50-04-BB-71-A600-50-04-BB-71-BCBINDTo00-50-04-BB-71-A6BINDTo00-50-04-BB-71-BCIP與MAC地址綁定后，不允許HostB假冒HostA的IP地址上網(wǎng)防火墻允許HostA上網(wǎng)IP與MAC（用戶）的綁定199.168.1.2當前第21頁\共有77頁\編于星期六\19點對DHCP應用環(huán)境的支持InternetDHCP服務器HostAHostBHostCHostDHostEHostF沒有固定IP地址只允許HostB上網(wǎng)設定HostB的MAC地址設定HostB的IP地址為空根據(jù)HostB的MAC地址進行訪問控制當前第22頁\共有77頁\編于星期六\19點客戶機建立連接并維持連接狀態(tài)直到查詢結束對數(shù)據(jù)庫長連接的支持FR數(shù)據(jù)庫查詢一般需要比較長的時間，這些通訊連接建立成功后可能暫時沒有數(shù)據(jù)通過（空連接），普通防火墻在連接建立一段時間后如果沒有數(shù)據(jù)通訊會自動切斷連接，導致業(yè)務不能正常運行需要較長的查詢時間需要在防火墻里面維護這個連接狀態(tài)，直到查詢結束。該功能是可選的。當前第23頁\共有77頁\編于星期六\19點動態(tài)路由功能--RIP當前第24頁\共有77頁\編于星期六\19點動態(tài)路由功能--OSPF當前第25頁\共有77頁\編于星期六\19點ADSL撥號功能－PPPOE當前第26頁\共有77頁\編于星期六\19點HostCHostDHostBHostA受保護網(wǎng)絡InternetInternet

SNMP報文獲取硬件配置信息資源使用狀況信息防火墻的流量信息防火墻的連接信息防火墻的版本信息防火墻的用戶信息防火墻的規(guī)則信息防火墻的路由信息……SNMP服務器端SNMP客戶端(HPopenview)支持SNMP網(wǎng)絡管理當前第27頁\共有77頁\編于星期六\19點

日志分析功能會話日志：即普通連接日志通信源地址、目的地址、源目端口、通信時間、通信協(xié)議、字節(jié)數(shù)、是否允許通過命令日志和內(nèi)容日志：即深度分析日志在通信日志的基礎之上，記錄下各個應用層命令參數(shù)和內(nèi)容。例如HTTP請求及其要取的網(wǎng)頁名。提供日志分析工具自動產(chǎn)生各種報表，智能化的指出網(wǎng)絡可能的安全漏洞當前第28頁\共有77頁\編于星期六\19點Clint響應請求發(fā)送請求通信日志通信日志通信信息普通連接日志－會話日志當前第29頁\共有77頁\編于星期六\19點Clint響應請求發(fā)送請求命令日志命令日志深度分析日志(1)－命令日志命令信息當前第30頁\共有77頁\編于星期六\19點Clint響應請求發(fā)送請求訪問日志訪問日志深度分析日志(2)－內(nèi)容日志訪問信息當前第31頁\共有77頁\編于星期六\19點高可用性--雙機熱備功能內(nèi)部網(wǎng)外網(wǎng)或者不信任域Eth0Eth0Eth1Eth1Eth2Eth2心跳線ActiveFirewallStandbyFirewall檢測ActiveFirewall的狀態(tài)發(fā)現(xiàn)出故障，立即接管其工作

正常情況下由主防火墻工作主防火墻出故障以后，接管它的工作HuborSwitchHuborSwitch通過ISTP協(xié)議可以交換兩臺防火墻的狀態(tài)信息當一臺防火墻故障時，這臺防火墻的連接不需要重新建立就可以透明的遷移到另一臺防火墻上，用戶不會察覺到當前第32頁\共有77頁\編于星期六\19點豐富的鏈路備份功能網(wǎng)口單combo口雙鏈路備份網(wǎng)口網(wǎng)口雙端口環(huán)形光纖鏈路備份HAHA雙機備份全冗余備份防火墻路由器交換機當前第33頁\共有77頁\編于星期六\19點WWW1WWW2WWW3負載均衡算法：輪流輪流+權值最少連接最少連接+權值根據(jù)負載均衡算法將數(shù)據(jù)重定位到一臺WWW服務器服務器陣列響應請求高可用性--服務器負載均衡當前第34頁\共有77頁\編于星期六\19點防火墻提供了“鏈路備份”功能來實時監(jiān)視整個鏈路的工作情況，一旦發(fā)現(xiàn)異常，就立即啟動“鏈路備份”功能自動切換到另一條備用鏈路，以確保網(wǎng)絡的正常通信。高可用性--網(wǎng)絡鏈路備份功能當前第35頁\共有77頁\編于星期六\19點高可用性-雙系統(tǒng)冗余防火墻作為網(wǎng)絡中的關鍵設備，對于維護網(wǎng)絡的正常通信以及安全保障起著舉足輕重的作用。所以，對防火墻本身的有效性和可用性就有了很高的要求。防火墻內(nèi)置備份系統(tǒng)，這樣，在主系統(tǒng)出現(xiàn)異?；蛴捎谏壥《荒苷Ｒ龑到y(tǒng)的情況下，用戶可以手工選擇使用備份系統(tǒng)。當前第36頁\共有77頁\編于星期六\19點擴展功能--病毒過濾功能(1)當前第37頁\共有77頁\編于星期六\19點擴展功能--病毒過濾功能(2)當前第38頁\共有77頁\編于星期六\19點擴展功能--

IPSECVPN功能當前第39頁\共有77頁\編于星期六\19點支持L2TP/PPTPVPN功能當前第40頁\共有77頁\編于星期六\19點支持DDNS功能當前第41頁\共有77頁\編于星期六\19點防火墻基本概念防火墻發(fā)展歷程防火墻核心技術

防火墻體系結構防火墻功能與原理防火墻的接入方式防火墻的典型應用防火墻性能防火墻局限性防火墻的兩個爭議目錄當前第42頁\共有77頁\編于星期六\19點受保護網(wǎng)絡Internet如果防火墻支持透明模式，則內(nèi)部網(wǎng)絡主機的配置不用調(diào)整HostA

HostCHostDHostB同一網(wǎng)段透明模式下，這里不用配置IP地址透明模式下，這里不用配置IP地址防火墻相當于網(wǎng)橋，原網(wǎng)絡結構沒有改變透明接入當前第43頁\共有77頁\編于星期六\19點受保護網(wǎng)絡InternetHostA

HostCHostDHostB防火墻相當于一個簡單的路由器提供簡單的路由功能路由接入當前第44頁\共有77頁\編于星期六\19點ETH0：ETH2：網(wǎng)段網(wǎng)段此時整個防火墻工作于透明+路由模式，我們稱之為綜合模式或者混合模式網(wǎng)段ETH1：兩接口在不同網(wǎng)段，防火墻處于路由模式兩接口在不同網(wǎng)段，防火墻處于路由模式兩接口在同一網(wǎng)段，防火墻處于透明模式靈活的接入方式－綜合接入當前第45頁\共有77頁\編于星期六\19點防火墻基本概念防火墻發(fā)展歷程防火墻核心技術

防火墻體系結構防火墻功能與原理防火墻的接入方式防火墻的典型應用防火墻性能防火墻局限性防火墻的兩個爭議目錄當前第46頁\共有77頁\編于星期六\19點DDN/幀中繼總行省中支A省中支BDDN/PSTN地市行A地市行B防火墻的典型應用（梯形結構）當前第47頁\共有77頁\編于星期六\19點總部分部分部訪問控制訪問授權信息審計……訪問控制訪問授權信息審計……訪問控制訪問授權信息審計……防火墻的典型應用（星型結構）幀中繼專網(wǎng)當前第48頁\共有77頁\編于星期六\19點InternetDDN/PSTN內(nèi)部專網(wǎng)黑客攻擊病毒非授權訪問惡意代碼……阻斷防火墻的典型應用三（簡單結構）分支網(wǎng)絡當前第49頁\共有77頁\編于星期六\19點防火墻基本概念防火墻發(fā)展歷程防火墻核心技術防火墻功能與原理防火墻的接入方式防火墻的典型應用防火墻性能防火墻局限性防火墻的兩個爭議目錄當前第50頁\共有77頁\編于星期六\19點衡量防火墻性能的五大指標吞吐量：該指標直接影響網(wǎng)絡的性能，吞吐量時延：入口處輸入幀最后1個比特到達至出口處輸出幀的第1個比特輸出所用的時間間隔丟包率：在穩(wěn)態(tài)負載下，應由網(wǎng)絡設備傳輸，但由于資源缺乏而被丟棄的幀的百分比背靠背：從空閑狀態(tài)開始，以達到傳輸介質(zhì)最小合法間隔極限的傳輸速率發(fā)送相當數(shù)量的固定長度的幀，當出現(xiàn)第一個幀丟失時，發(fā)送的幀數(shù)并發(fā)連結數(shù)：并發(fā)連接數(shù)是指穿越防火墻的主機之間或主機與防火墻之間能同時建立的最大連接數(shù)

當前第51頁\共有77頁\編于星期六\19點吞吐量定義：在不丟包的情況下能夠達到的最大速率衡量標準：吞吐量越大，防火墻的性能越高

~;%#@*$^&*&^#**(&Smartbits6000B測試儀以最大速率發(fā)包直到出現(xiàn)丟包時的最大值防火墻吞吐量小就會成為網(wǎng)絡的瓶頸100M60M當前第52頁\共有77頁\編于星期六\19點數(shù)據(jù)包首先排隊待防火墻檢查后轉(zhuǎn)發(fā)時延定義：入口處輸入幀最后1個比特到達至出口處輸出幀的第一個比特輸出所用的時間間隔衡量標準：延時越小，表示防火墻的性能越高

Smartbits6000B測試儀最后1個比特到達第一個比特輸出時間間隔造成數(shù)據(jù)包延遲到達目標地當前第53頁\共有77頁\編于星期六\19點丟包率定義：在連續(xù)負載的情況下，防火墻設備由于資源不足應轉(zhuǎn)發(fā)但卻未轉(zhuǎn)發(fā)的幀百分比

衡量標準：丟包率越小，防火墻的性能越高Smartbits6000B測試儀發(fā)送了1000個包防火墻由于資源不足只轉(zhuǎn)發(fā)了800個包丟包率=（1000-800）/1000=20%當前第54頁\共有77頁\編于星期六\19點背靠背定義：從空閑狀態(tài)開始，以達到傳輸介質(zhì)最小合法間隔極限的傳輸速率發(fā)送相當數(shù)量的固定長度的幀，當出現(xiàn)第一個幀丟失時，發(fā)送的幀數(shù)。衡量標準：背對背包主要是指防火墻緩沖容量的大小,網(wǎng)絡上經(jīng)常有一些應用會產(chǎn)生大量的突發(fā)數(shù)據(jù)包（例如：NFS,備份，路由更新等），而且這樣的數(shù)據(jù)包的丟失可能會產(chǎn)生更多的數(shù)據(jù)包的丟失，強大緩沖能力可以減小這種突發(fā)對網(wǎng)絡造成的影響。Smartbits6000B測試儀時間（t）包數(shù)量（n）少量包包增多峰值包減少沒有數(shù)據(jù)背靠背是體現(xiàn)防火墻對突發(fā)數(shù)據(jù)的處理能力當前第55頁\共有77頁\編于星期六\19點并發(fā)連接數(shù)定義：指數(shù)據(jù)包穿越防火墻時同時建立的最大連接數(shù)。衡量標準：并發(fā)連接數(shù)主要用來測試防火墻建立和維持TCP連接的性能，并發(fā)連接數(shù)越大，防火墻的處理性能越高。并發(fā)連接數(shù)指標可以用來衡量穿越防火墻時同時建立的最大連接數(shù)并發(fā)連接并發(fā)連接當前第56頁\共有77頁\編于星期六\19點防火墻基本概念防火墻發(fā)展歷程防火墻核心技術防火墻功能與原理防火墻的接入方式防火墻的典型應用防火墻性能防火墻局限性防火墻的兩個爭議目錄當前第57頁\共有77頁\編于星期六\19點防火墻的局限性防火墻雖然是保護網(wǎng)絡安全的基礎性設施，但是它還存在著一些不易防范的安全威脅：首先防火墻不能防范未經(jīng)過防火墻或繞過防火墻的攻擊。例如，如果允許從受保護的網(wǎng)絡內(nèi)部向外撥號，一些用戶就可能形成與Internet的直接連接。防火墻基于數(shù)據(jù)包包頭信息的檢測阻斷方式，主要對主機提供或請求的服務進行訪問控制，無法阻斷通過開放端口流入的有害流量，并不是對蠕蟲或者黑客攻擊的解決方案。另外，防火墻很難防范來自于網(wǎng)絡內(nèi)部的攻擊或濫用。當前第58頁\共有77頁\編于星期六\19點防火墻基本概念防火墻發(fā)展歷程防火墻核心技術

防火墻體系結構防火墻功能與原理防火墻的接入方式防火墻的典型應用防火墻性能防火墻局限性防火墻的兩個爭議目錄當前第59頁\共有77頁\編于星期六\19點

防火墻的胖－瘦之爭防火墻的硬件架構之爭爭議當前第60頁\共有77頁\編于星期六\19點防火墻的“胖”與“瘦”

由于防火墻在網(wǎng)絡中所處的重要位置，因此，人們對防火墻可以說是寄予厚望?，F(xiàn)在防火墻正在不斷增加各種各樣的新功能，因此防火墻正在急劇“長胖”。當前第61頁\共有77頁\編于星期六\19點“胖”防火墻是指功能大而全的防火墻，它力圖將安全功能盡可能多地包含在內(nèi)，從而成為用戶網(wǎng)絡的一個安全平臺；胖防火墻的定義訪問控制病毒防護入侵檢測交換路由內(nèi)容過濾信息審計傳輸加密其他胖防火墻當前第62頁\共有77頁\編于星期六\19點胖防火墻的優(yōu)勢與不足優(yōu)勢：首先是功能全其次是控制力度細第三是協(xié)作能力強降低采購和管理成本不足：主要表現(xiàn)在性能降低其次是自身安全性相對較弱還有專業(yè)性不強，表現(xiàn)為功能模塊的拼湊第四是穩(wěn)定性不強，系統(tǒng)越大，BUG越多最后是配置復雜，不合理的配置會帶來更大的安全隱患當前第63頁\共有77頁\編于星期六\19點訪問控制病毒防護入侵檢測交換路由內(nèi)容過濾信息審計傳輸加密其他瘦防火墻安全聯(lián)動“瘦”防火墻是指功能少而精的防火墻，它只作訪問控制的專職工作，對于綜合安全解決方案，則采用多家安全廠商聯(lián)盟的方式來實現(xiàn)。

瘦防火墻的定義當前第64頁\共有77頁\編于星期六\19點瘦防火墻的優(yōu)勢與不足優(yōu)勢：

性能高注重核心功能，專業(yè)性強整體安全性高配置簡單，簡化對管理員的專業(yè)要求不足：功能單一整體防護能力不能滿足需求整體采購成本較高當前第65頁\共有77頁\編于星期六\19點構建聯(lián)動、統(tǒng)一的動態(tài)安全防護體系無論是“胖”防火墻的集成，還是“瘦”防火墻的聯(lián)動，安全產(chǎn)品正在朝著體系化的結構發(fā)展，所謂“胖瘦”不過是這種體系結構的具體表現(xiàn)方式，“胖”將這種體系表現(xiàn)在一個產(chǎn)品中，而“瘦”將這種體系表現(xiàn)在一系列產(chǎn)品或是說一個整體方案中。同時，不管哪種體系結構，都必須通過安全管理中心來監(jiān)控、協(xié)調(diào)、管理網(wǎng)絡中的其他安全產(chǎn)品和網(wǎng)絡產(chǎn)品，構建聯(lián)動、統(tǒng)一的動態(tài)安全防護體系。

當前第66頁\共有77頁\編于星期六\19點爭議防火墻的胖－瘦之爭防火墻的硬件架構之爭當前第67頁\共有77頁\編于星期六\19點防火墻硬件架構基于X86體系的通用CPU架構基于網(wǎng)絡處理器的NPU架構

基于專用處理芯片的ASIC架構當前第68頁\共有77頁\編于星期六\19點基于X86架構的防火墻X86架構防火墻中，其CPU具有高靈活性、高擴展性的特性；通用CPU具有體系化的指令集和系統(tǒng)結構，容易支持復雜的運算和開發(fā)新的功能；基于X86架構防火墻的處理速度和能力能夠很好的適應各種百兆網(wǎng)絡環(huán)境和一般千兆網(wǎng)絡環(huán)境的需求；基于X86防火墻由于受CPU處理能力和PCI總線的制約，在更高的千兆環(huán)境下其性能和功能則日益不能滿足于需求；當前第69頁\共有77頁\編于星期六\19點硬件平臺技術分析-x86基于X86的平臺主要提供商Intel，AMDX86特點：軟件開發(fā)比較靈活便于快速推出產(chǎn)品投資少發(fā)熱比較大受總線帶寬的限制難以滿足高速環(huán)境當前第70頁\共有77頁\編于星期六\19點硬件平臺技術分析-其他嵌入式基于其他嵌入的平