网站首页/网络技术列表/内容

ATM上的防火墙加速技术

网络技术2021-12-21阅读
网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。
防火墙不是什么新技术,但高性能防火墙却是。从前防火墙使用软件来分析每个数据包,然后再做出转发或是丢弃数据包的决定,这就降低了防火墙的速度。
当管理人员将防火墙连接到低速广域网接入链路上时,防火墙不会形成瓶颈。然而,需要防火墙的安全边缘不总是存在于广域网链路上。如财务部门的网络就需要保护,以免受同一网络环境中其它部门的影响。此外,广域网链路的速度随着Internet的发展而增加,连接到城域网络的多千兆位链路将在今后几年开始普及。在这种速度上,老式防火墙的性能瓶颈问题将会暴露出来。
新一代防火墙加速器利用流识别技术来消除性能瓶颈,使管理人员可以在自己需要的位置安装防火墙。流是由在特定IP域中(例如,源IP地址、目的地址和TCP端口号)具有相同值的数据包组成的串,防火墙加速器利用硬件对这些域进行分析。
流的第一个包转向传送到保存安全策略的传统软件防火墙上,然后加速器独立的学会识别和处理(转发、丢弃或监控)随后的包。这就使防火墙具有了线速度的安全功能。防火墙加速器两年前就已问世,并具有10/100Mbps和千兆位以太网接口。
然而,许多有着最苛求安全需要的网络管理人员却选择ATM作为网络传输媒介,他们这样做是基于下列几个理由:ATM面向连接的架构使它可以抵御拒绝攻击;将带宽配置赋予连接保证了连接的性能;ATM信元的固定长度使高速分组加密变得可行和廉价。
尽管ATM被经常用在高度安全的网络中,并通常用在广域网接入可信赖边缘上,但是,由于早期加速器不能以线速度分析被分割为53字节长度的IP包,因此早期的防火墙加速器只支持以太网。
美国国家安全局利用一项技术解决了这个问题,这项技术跟踪ATM包分帧过程来提取每个包的IP包头副本,不耗费任何时间就可将信元重新组装成包。通过选择的商业合作伙伴,这项技术促成了新一代IP/ATM防火墙加速器的诞生。
利用IP/ATM防火墙加速器,第一个包的信元被转发到防火墙控制处理器(FCP),然后FCP根据其过滤策略来决定是否转发、丢弃或监控数据包。
转发的包被重新注入到信元流中,并且FCP通知防火墙内的处理器对这个流随后的信元所采取的行动。一台采用这项技术的防火墙加速器可以提供OC-3c或OC-12c接口的选择,而这两种速度都可以执行线速度防火墙功能。

网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。

……

下载网络技术应用使用,安卓用户请点击>>>网络技术应用

下载网络技术应用使用,IOS用户请点击>>>IOS 网络技术应用

扫描二维码,直接长按扫描哦!

安卓用户下载软件扫一扫

相关应用
热门应用
相关阅读
必备软件
点击进入,每天领现金 5元红包任性送