ATM上的防火墻加速技術(shù)

2019-11-04 10:07:08

字體：大中小

供稿：網(wǎng)友

　　防火墻不是什么新技術(shù)，但高性能防火墻卻是。從前防火墻使用軟件來分析每個(gè)數(shù)據(jù)包，然后再做出轉(zhuǎn)發(fā)或是丟棄數(shù)據(jù)包的決定，這就降低了防火墻的速度。

當(dāng)治理人員將防火墻連接到低速廣域網(wǎng)接入鏈路上時(shí)，防火墻不會(huì)形成瓶頸。然而，需要防火墻的安全邊緣不總是存在于廣域網(wǎng)鏈路上。如財(cái)務(wù)部門的網(wǎng)絡(luò)就需要保護(hù)，以免受同一網(wǎng)絡(luò)環(huán)境中其它部門的影響。此外，廣域網(wǎng)鏈路的速度隨著Internet的發(fā)展而增加，連接到城域網(wǎng)絡(luò)的多千兆位鏈路將在今后幾年開始普及。在這種速度上，老式防火墻的性能瓶頸問題將會(huì)暴露出來。

新一代防火墻加速器利用流識別技術(shù)來消除性能瓶頸，使治理人員可以在自己需要的位置安裝防火墻。流是由在特定ip域中（例如，源IP地址、目的地址和TCP端口號）具有相同值的數(shù)據(jù)包組成的串，防火墻加速器利用硬件對這些域進(jìn)行分析。

流的第一個(gè)包轉(zhuǎn)向傳送到保存安全策略的傳統(tǒng)軟件防火墻上，然后加速器獨(dú)立的學(xué)會(huì)識別和處理（轉(zhuǎn)發(fā)、丟棄或監(jiān)控）隨后的包。這就使防火墻具有了線速度的安全功能。防火墻加速器兩年前就已問世，并具有10/100Mbps和千兆位以太網(wǎng)接口。

然而，許多有著最苛求安全需要的網(wǎng)絡(luò)治理人員卻選擇ATM作為網(wǎng)絡(luò)傳輸媒介，他們這樣做是基于下列幾個(gè)理由：ATM面向連接的架構(gòu)使它可以抵御拒絕攻擊；將帶寬配置賦予連接保證了連接的性能；ATM信元的固定長度使高速分組加密變得可行和廉價(jià)。

盡管ATM被經(jīng)常用在高度安全的網(wǎng)絡(luò)中，并通常用在廣域網(wǎng)接入可信賴邊緣上，但是，由于早期加速器不能以線速度分析被分割為53字節(jié)長度的IP包，因此早期的防火墻加速器只支持以太網(wǎng)。

美國國家安全局利用一項(xiàng)技術(shù)解決了這個(gè)問題，這項(xiàng)技術(shù)跟蹤ATM包分幀過程來提取每個(gè)包的IP包頭副本，不耗費(fèi)任何時(shí)間就可將信元重新組裝成包。通過選擇的商業(yè)合作伙伴，這項(xiàng)技術(shù)促成了新一代IP/ATM防火墻加速器的誕生。

利用IP/ATM防火墻加速器，第一個(gè)包的信元被轉(zhuǎn)發(fā)到防火墻控制處理器（FCP），然后FCP根據(jù)其過濾策略來決定是否轉(zhuǎn)發(fā)、丟棄或監(jiān)控?cái)?shù)據(jù)包。

轉(zhuǎn)發(fā)的包被重新注入到信元流中，并且FCP通知防火墻內(nèi)的處理器對這個(gè)流隨后的信元所采取的行動(dòng)。一臺采用這項(xiàng)技術(shù)的防火墻加速器可以提供OC－3c或OC－12c接口的選擇，而這兩種速度都可以執(zhí)行線速度防火墻功能。

上一篇：MPLS：ATM與IP結(jié)合新模方式

下一篇：視頻應(yīng)用需要ATM