網路處理器與安全裝置的結合提高了安全性(轉)

網路處理器與安全裝置的結合提高了安全性(轉)[@more@]

　　NP被看好，與網路裝置和安全裝置功能界限的日趨淡化息息相關。交換機和路由器需要支援安全模組，防火牆需要支援VLAN管理和IDS功能。這就為能夠進行完整性校驗、身份認證和資料加密的NP開啟了市場。

　　防火牆、IDS是廣泛使用的安全應用裝置。這些裝置不僅需要為狀態過濾和特徵匹配提供高效能運算平臺，同時也需要支援病毒掃描等多種服務。

　　防火牆的狀態檢測技術需要對通訊狀態建立資料庫，跟蹤狀態變化的軌跡，然後根據規則和策略，決定通訊的終止和資料包的處理。IDS的深度協議解析和狀態匹配需要佔用CPU的大量處理能力。NP（尤其具有內容檢查的NP）透過提供資料包操作引擎和固化分類演算法，達到高速處理和分擔主CPU負荷的效果。

　　由於防護物件所處的網路環境和應用環境的不同，許多應用協議和安全制度對防火牆和IDS的效能提出更高的要求。例如，當防火牆對資料中心資料庫伺服器進行防護時，由於應用伺服器和資料庫伺服器之間的通訊協議（如ORACLE的SQL.net）使用了動態埠分配方法，基於狀態包過濾的防火牆將影響對資料庫的訪問。此外，當多媒體通訊協議穿越防火牆時，包過濾的防火牆將成為瓶頸，基本上是不可用的。對於這種資料包之間、協議之間、應用和資料包之間具有狀態關係的通訊，只能使用基於狀態流的防火牆技術，維護點對點的狀態記錄，才能為視訊會議等應用提供保證。以H.323為例，多媒體通訊過程包括：透過Q.931建立連線、透過H.323-H.245分配動態埠、RTP/RTCP對音訊和影片流進行控制。狀態包過濾只能識別其中的IP、TCP和UDP包，而協議和應用相關的資訊必須透過狀態流分類技術加以識別和標記。在透明資料庫訪問協議和麵向狀態流的包分類方面，NP藉助其可程式設計性和專用處理邏輯表現出色。

　　NP也為VPN技術提供了高效能、高靈活性的平臺。VPN技術利用認證和加密等技術，為使用者的資訊保安、增值服務和業務流程提供保證。VPN技術包括二層隧道技術的PPP、L2F和L2TP，以及IP層的IPSec和四層協議SSL/TLS。

　　IPSec是當前比較流行的IP層解決方案，在加密協議和金鑰管理方面具有明顯的優勢。IPSec協議包主要包括認證報頭（AH）、安全載入封裝（ESP）、網際網路金鑰管理（IKMP）三部分。在認證報頭的產生中，系統透過MD5或SHA-1實現數字簽名；在安全載入封裝過程，系統需要對資料包進行DES或3DES加密。NP固化了大量的標準演算法，結合高效能的硬體架構，能夠快速、高效地實現VPN應用。NP的可程式設計性為VPN產品的設計和實現提供了很大幫助。它能夠根據網路環境和使用者業務情況幫助VPN靈活地使用標記和實現QOS，為客戶或系統整合商提供可配置或可程式設計的能力。

　　

·上一篇：

·下一篇：

最新更新
	· · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·