网络防火墙设计中的一些重点问题


立即下载 至此
2024-03-23
防火墙 硬件 软件 厂家 国内 系统 设计 PC 功能 Linux
53.6 KB

网络防火墙设计中的一些重点问题
作者: sixth
1.方案:硬件?还是软件?
现在防火墙的功能越来越多越花哨,如此多的功能必然要求系统有一个高效的处理能力。
防火墙从实现上可以分为软件防火墙和硬件防火墙。软件防火墙以 checkpoint 公司的
Firewall-I 为代表,其实现是通过 dev_add_pack 的办法加载过滤函数( Linux,其他操作系
统没有作分析,估计类似) ,通过在操作系统底层做工作来实现防火墙的各种功能和优化。
国内也有一些所谓的软件防火墙,但据了解大多是所谓 ”个人”防火墙,而且功能及其有限,
故不在此讨论范围。
在国内目前已通过公安部检验的防火墙中, 硬件防火墙占绝大多数。 硬件防火墙一种是从硬
件到软件都单独设计,典型如 Netscreen防火墙不但软件部分单独设计,硬件部分也采用专
门的 ASIC 集成电路。
另外一种就是基于 PC架构的使用经过定制的通用操作系统的所谓硬件防火墙。 目前国内绝

多数防火墙都属于这种类型。
虽然都号称硬件防火墙, 国内厂家和国外厂家还是存在着巨大区别。 硬件防火墙需要在硬件
和软件两方面同时下功夫, 国外厂家的通常做法是软件运算硬件化, 其所设计或选用的运行
平台本身的性能可能并不高, 但它将主要的运算程序 (查表运算是防火墙的主要工作) 做成
芯片,以减少主机 CPU 的运算压力。国内厂家的防火墙硬件平台基本上采用通用 PC 系统
或工业 PC 架构(直接原因是可以节省硬件开发成本) ,在提高硬件性能方面所能做的工作
仅仅是提升系统 CPU 的处理能力,增大内存容量而已。现在国内防火墙的一个典型结构就
是:工业主板 +x86+128(256)M 内存 +DOC/DOM+ 硬盘(或不要硬盘而另增加一个日志服
务器) +百兆网卡 这
样一个工业 PC 结构。
在软件性能方面,国内外厂家的差别就更大了,国外(一些著名) 厂家均是采用专用的操作
系统,自行设计防火墙。而国内所有厂家操作系统系统都是基于通用的 Linux ,无一例外。
各厂家的区别仅仅在于对 Linux 系统本身和防火墙部分( 2.2 内核为 ipchains,2.4 以后内核
为 netfilter)所作的改动量有多大。
事实上, Linux 只是一个通用操作系统,它并没


防火墙/硬件/软件/厂家/国内/系统/设计/PC/功能/Linux/ 防火墙/硬件/软件/厂家/国内/系统/设计/PC/功能/Linux/
-1 条回复
登录 后才能参与评论
-->