Professional Documents
Culture Documents
中网公 司 李勇
产生背景
• 互联网 的迅 猛发展
• 网络协 议的 脆弱性
• 企业业 务的 需要
• 信任边 界复 杂,缺 乏有 效管
防火墙的作用
• 过滤进 出网络 的数 据包
• 管理进 出网络 的访 问行为
• 封堵某 些禁止 的访 问行为
• 记录通 过防火 墙的 信息内 容和 活
• 对网络 攻击进 行告 警
防火墙—形态
• 1 .纯 硬防 火墙: 一般 分为 ASIC (专用集 成电 路)、 NP (通用 网络
处理 器)和 FPCA 3 种核 心处 理器 --- 同时 采 用 MIPS\ARM\POWER PCRISA
芯片 的 CPU 平台处理 器( CPU 的成 本低)
•ASIC :如 NETSCREEN ,原 理上性 能最 好,缺 点是 设计复 杂、开 发周 期长
,改 动不灵 活( 需要更 换芯 片); 随着通 用硬 件的发 展, 在百兆 通常 的应 用
上已 经没有 优势 ;性能 价格 比也不 占优, 在千 兆上优 势明 显。
•NP :网络 处理 器是一 种非 基于 ASIC 的 IC 或 IC 芯片 组,利 用软 件编程 ,可
以像 ASIC 那样 快速 地处 理数据 包。 同时升 级芯片 上的 固件增 加新 的 功能,
其固 件可以 有网 络设备 商或 第三方 加载到 处理 器中。 厂商 有
INTER 、 IBM 、摩 托罗 拉、 SIBYTE 等公司 。
•国内出 现的 一般 使用 INTEL 的 NPU ,原理 上性 能界于 ASIC 和通用 INTEL
构架 之间; 灵活 性也是 在中 间。国 内目前 大多 采用 INTER IXP1200 处理 能力
低, 一般需 要多 片并行 工作 才能满 足需求 ,还 需要其 他协 处理芯 片配 合, 对
硬件 设计能 力要 求较高 ,最 终成本 不会太 低同 样在百 兆通 常的应 用上 已经 没
有优 势;同 时在 百兆级 未见 应用, 千兆国 内有 几家在 开发 。
•FPCA 可编程 芯片 。
防火墙—形态