防火墻不是什么新技術(shù),但高性能防火墻卻是。從前防火墻使用軟件來(lái)分析每個(gè)數(shù)據(jù)包,然后再做出轉(zhuǎn)發(fā)或是丟棄數(shù)據(jù)包的決定,這就降低了防火墻的速度。 當(dāng)管理人員將防火墻連接到低速?gòu)V域網(wǎng)接入鏈路上時(shí),防火墻不會(huì)形成瓶頸。然而,需要防火墻的安全邊緣不總是存在于廣域網(wǎng)鏈路上。如財(cái)務(wù)部門的網(wǎng)絡(luò)就需要保護(hù),以免受同一網(wǎng)絡(luò)環(huán)境中其它部門的影響。此外,廣域網(wǎng)鏈路的速度隨著Internet的發(fā)展而增加,連接到城域網(wǎng)絡(luò)的多千兆位鏈路將在今后幾年開始普及。在這種速度上,老式防火墻的性能瓶頸問題將會(huì)暴露出來(lái)。 新一代防火墻加速器利用流識(shí)別技術(shù)來(lái)消除性能瓶頸,使管理人員可以在自己需要的位置安裝防火墻。流是由在特定IP域中(例如,源IP地址、目的地址和TCP端口號(hào))具有相同值的數(shù)據(jù)包組成的串,防火墻加速器利用硬件對(duì)這些域進(jìn)行分析。 流的第一個(gè)包轉(zhuǎn)向傳送到保存安全策略的傳統(tǒng)軟件防火墻上,然后加速器獨(dú)立的學(xué)會(huì)識(shí)別和處理(轉(zhuǎn)發(fā)、丟棄或監(jiān)控)隨后的包。這就使防火墻具有了線速度的安全功能。防火墻加速器兩年前就已問世,并具有10/100Mbps和千兆位以太網(wǎng)接口。 然而,許多有著最苛求安全需要的網(wǎng)絡(luò)管理人員卻選擇ATM作為網(wǎng)絡(luò)傳輸媒介,他們這樣做是基于下列幾個(gè)理由:ATM面向連接的架構(gòu)使它可以抵御拒絕攻擊;將帶寬配置賦予連接保證了連接的性能;ATM信元的固定長(zhǎng)度使高速分組加密變得可行和廉價(jià)。 盡管ATM被經(jīng)常用在高度安全的網(wǎng)絡(luò)中,并通常用在廣域網(wǎng)接入可信賴邊緣上,但是,由于早期加速器不能以線速度分析被分割為53字節(jié)長(zhǎng)度的IP包,因此早期的防火墻加速器只支持以太網(wǎng)。 美國(guó)國(guó)家安全局利用一項(xiàng)技術(shù)解決了這個(gè)問題,這項(xiàng)技術(shù)跟蹤ATM包分幀過程來(lái)提取每個(gè)包的IP包頭副本,不耗費(fèi)任何時(shí)間就可將信元重新組裝成包。通過選擇的商業(yè)合作伙伴,這項(xiàng)技術(shù)促成了新一代IP/ATM防火墻加速器的誕生。 利用IP/ATM防火墻加速器,第一個(gè)包的信元被轉(zhuǎn)發(fā)到防火墻控制處理器(FCP),然后FCP根據(jù)其過濾策略來(lái)決定是否轉(zhuǎn)發(fā)、丟棄或監(jiān)控?cái)?shù)據(jù)包。 轉(zhuǎn)發(fā)的包被重新注入到信元流中,并且FCP通知防火墻內(nèi)的處理器對(duì)這個(gè)流隨后的信元所采取的行動(dòng)。一臺(tái)采用這項(xiàng)技術(shù)的防火墻加速器可以提供OC-3c或OC-12c接口的選擇,而這兩種速度都可以執(zhí)行線速度防火墻功能。 |
