数据中心解决方案安全技术白皮书(10)

另外，在不应该出现路由信息的端口过滤掉所有路由报文也是解决方法之一。但这种方法会消耗掉许多ACL资源。

3.1.2       数据中心网络边界安全技术

边界安全的一项主要功能是实现网络隔离，通过防火墙可以把安全信任网络和非安全网络进行隔离。华为3COM SecPath系列防火墙以其高效可靠的防攻击手段，和灵活多变的安全区域配置策略担负起是守护数据中心边界安全的的重任。

1.    状态防火墙

实现网络隔离的基本技术是IP包过滤，ACL是一种简单可靠的技术，应用在路由器或交换机上可实现最基本的IP包过滤，但单纯的ACL包过滤缺乏一定的灵活性。对于类似于应用FTP协议进行通信的多通道协议来说，配置ACL则是困难的。FTP包含一个预知端口的TCP控制通道和一个动态协商的TCP数据通道，对于一般的ACL来说，配置安全策略时无法预知数据通道的端口号，因此无法确定数据通道的入口。

状态防火墙设备将状态检测技术应用在ACL技术上，通过对连接状态的状态的检测，动态的发现应该打开的端口，保证在通信的过程中动态的决定哪些数据包可以通过防火墙。状态防火墙还采用基于流的状态检测技术可以提供更高的转发性能，因为基于ACL的包过滤技术是逐包检测的，这样当规则非常多的时候包过滤防火墙的性能会变得比较低下，而基于流的状态防火墙可以根据流的信息决定数据包是否可以通过防火墙，这样就可以利用流的状态信息决定对数据包的处理结果加快了转发性能。

2.    防火墙安全区域管理

边界安全的一项主要功能是网络隔离，并且这种网络隔离技术不是简单的依靠网络接口来划分的，因为网络的实际拓扑是千差万别的，使用固定接口来进行网络隔离不能适应网络的实际要求。SecPath防火墙提供了基于安全区域的隔离模型，每个安全区域可以按照网络的实际组网加入任意的接口，因此SecPath的安全管理模型是不会受到网络拓扑的影响。

业界很多防火墙一般都提供受信安全区域（trust）、非受信安全区域（untrust）、非军事化区域（DMZ）三个独立的安全区域，这样的保护模型可以适应大部分的组网要求，但是在一些安全策略要求较高的场合，这样的保护模型还是不能满足要求。