科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道网络处理器与安全设备的结合提高了安全性

网络处理器与安全设备的结合提高了安全性

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

防火墙的状态检测技术需要对通信状态建立数据库,跟踪状态变化的轨迹,然后根据规则和策略,决定通信的终止和数据包的处理。

作者:中国IT实验室 2007年9月14日

关键字: 防火墙 数据包 报头 vpn技术 包过滤 加密

  • 评论
  • 分享微博
  • 分享邮件

  NP被看好,与网络设备和安全设备功能界限的日趋淡化息息相关。交换机和路由器需要支持安全模块,防火墙需要支持VLAN管理和IDS功能。这就为能够进行完整性校验、身份认证和数据加密的NP打开了市场。

  

  防火墙、IDS是广泛使用的安全应用设备。这些设备不仅需要为状态过滤和特征匹配提供高性能计算平台,同时也需要支持病毒扫描等多种服务。

  

  防火墙的状态检测技术需要对通信状态建立数据库,跟踪状态变化的轨迹,然后根据规则和策略,决定通信的终止和数据包的处理。IDS的深度协议解析和状态匹配需要占用CPU的大量处理能力。NP(尤其具有内容检查的NP)通过提供数据包操作引擎和固化分类算法,达到高速处理和分担主CPU负荷的效果。

  

  由于防护对象所处的网络环境和应用环境的不同,许多应用协议和安全制度对防火墙和IDS的性能提出更高的要求。例如,当防火墙对数据中心数据库服务器进行防护时,由于应用服务器和数据库服务器之间的通信协议(如ORACLE的SQL.net)使用了动态端口分配方法,基于状态包过滤的防火墙将影响对数据库的访问。此外,当多媒体通信协议穿越防火墙时,包过滤的防火墙将成为瓶颈,基本上是不可用的。对于这种数据包之间、协议之间、应用和数据包之间具有状态关系的通信,只能使用基于状态流的防火墙技术,维护点对点的状态记录,才能为视频会议等应用提供保证。以H.323为例,多媒体通信过程包括:通过Q.931建立连接、通过H.323-H.245分配动态端口、RTP/RTCP对音频和视频流进行控制。状态包过滤只能识别其中的IP、TCP和UDP包,而协议和应用相关的信息必须通过状态流分类技术加以识别和标记。在透明数据库访问协议和面向状态流的包分类方面,NP借助其可编程性和专用处理逻辑表现出色。

  

  NP也为VPN技术提供了高性能、高灵活性的平台。VPN技术利用认证和加密等技术,为用户的信息安全、增值服务和业务流程提供保证。VPN技术包括二层隧道技术的PPP、L2F和L2TP,以及IP层的IPSec和四层协议SSL/TLS。

  

  IPSec是当前比较流行的IP层解决方案,在加密协议和密钥管理方面具有明显的优势。IPSec协议包主要包括认证报头(AH)、安全加载封装(ESP)、互联网密钥管理(IKMP)三部分。在认证报头的产生中,系统通过MD5或SHA-1实现数字签名;在安全加载封装过程,系统需要对数据包进行DES或3DES加密。NP固化了大量的标准算法,结合高性能的硬件架构,能够快速、高效地实现VPN应用。NP的可编程性为VPN产品的设计和实现提供了很大帮助。它能够根据网络环境和用户业务情况帮助VPN灵活地使用标记和实现QOS,为客户或系统集成商提供可配置或可编程的能力。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章