网络防火墙设计中的一些重点问题
作者: sixth
1.方案:硬件?还是软件?
现在防火墙的功能越来越多越花哨,如此多的功能必然要求系统有一个高效的处理能力。
防火墙从实现上可以分为软件防火墙和硬件防火墙。软件防火墙以 checkpoint 公司的
Firewall-I 为代表,其实现是通过 dev_add_pack 的办法加载过滤函数( Linux,其他操作系
统没有作分析,估计类似) ,通过在操作系统底层做工作来实现防火墙的各种功能和优化。
国内也有一些所谓的软件防火墙,但据了解大多是所谓 ”个人”防火墙,而且功能及其有限,
故不在此讨论范围。
在国内目前已通过公安部检验的防火墙中, 硬件防火墙占绝大多数。 硬件防火墙一种是从硬
件到软件都单独设计,典型如 Netscreen防火墙不但软件部分单独设计,硬件部分也采用专
门的 ASIC 集成电路。
另外一种就是基于 PC架构的使用经过定制的通用操作系统的所谓硬件防火墙。 目前国内绝
大
多数防火墙都属于这种类型。
虽然都号称硬件防火墙, 国内厂家和国外厂家还是存在着巨大区别。 硬件防火墙需要在硬件
和软件两方面同时下功夫, 国外厂家的通常做法是软件运算硬件化, 其所设计或选用的运行
平台本身的性能可能并不高, 但它将主要的运算程序 (查表运算是防火墙的主要工作) 做成
芯片,以减少主机 CPU 的运算压力。国内厂家的防火墙硬件平台基本上采用通用 PC 系统
或工业 PC 架构(直接原因是可以节省硬件开发成本) ,在提高硬件性能方面所能做的工作
仅仅是提升系统 CPU 的处理能力,增大内存容量而已。现在国内防火墙的一个典型结构就
是:工业主板 +x86+128(256)M 内存 +DOC/DOM+ 硬盘(或不要硬盘而另增加一个日志服
务器) +百兆网卡 这
样一个工业 PC 结构。
在软件性能方面,国内外厂家的差别就更大了,国外(一些著名) 厂家均是采用专用的操作
系统,自行设计防火墙。而国内所有厂家操作系统系统都是基于通用的 Linux ,无一例外。
各厂家的区别仅仅在于对 Linux 系统本身和防火墙部分( 2.2 内核为 ipchains,2.4 以后内核
为 netfilter)所作的改动量有多大。
事实上, Linux 只是一个通用操作系统,它并没
防火墙/硬件/软件/厂家/国内/系统/设计/PC/功能/Linux/
防火墙/硬件/软件/厂家/国内/系统/设计/PC/功能/Linux/
-->