華為防火墻的基本架構(gòu)

防火墻的硬件體系結(jié)構(gòu)曾經(jīng)歷過(guò)通用CPU架構(gòu)、ASIC架構(gòu)和網(wǎng)絡(luò)處理器架構(gòu)，他們各自的特點(diǎn)分別如下：

通用CPU架構(gòu)

通用CPU架構(gòu)常見(jiàn)的是基于Intel X86架構(gòu)的防火墻，在百兆防火墻中Intel X86架構(gòu)的硬件以其高靈活性和擴(kuò)展性一直受到防火墻廠商的青睞；由于采用了PCI總線接口，Intel X86架構(gòu)的硬件雖然理論上能達(dá)到2Gbps的吞吐量甚至更高，但是在實(shí)際應(yīng)用中，尤其是在小包情況下，遠(yuǎn)遠(yuǎn)達(dá)不到標(biāo)稱(chēng)性能，通用CPU的處理能力也很有限。

國(guó)內(nèi)安全設(shè)備主要采用的就是基于X86的通用CPU架構(gòu)。

ASIC架構(gòu)

ASIC技術(shù)是國(guó)外網(wǎng)絡(luò)設(shè)備幾年前廣泛采用的技術(shù)。由于采用了硬件轉(zhuǎn)發(fā)模式、多總線技術(shù)、數(shù)據(jù)層面與控制層面分離等技術(shù)， ASIC架構(gòu)防火墻解決了帶寬容量和性能不足的問(wèn)題，穩(wěn)定性也得到了很好的保證。

ASIC技術(shù)的性能優(yōu)勢(shì)主要體現(xiàn)在網(wǎng)絡(luò)層轉(zhuǎn)發(fā)上，而對(duì)于需要強(qiáng)大計(jì)算能力的應(yīng)用層數(shù)據(jù)的處理則不占優(yōu)勢(shì)，而且面對(duì)頻繁變異的應(yīng)用安全問(wèn)題，其靈活性和擴(kuò)展性也難以滿足要求。

網(wǎng)絡(luò)處理器架構(gòu)

由于網(wǎng)絡(luò)處理器所使用的微碼編寫(xiě)有一定技術(shù)難度，難以實(shí)現(xiàn)產(chǎn)品的性能，華為防火墻公司，因此網(wǎng)絡(luò)處理器架構(gòu)的防火墻產(chǎn)品難以占有大量的市場(chǎng)份額。

華為防火墻系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

信息社會(huì)中，網(wǎng)絡(luò)是一種主要的信息發(fā)布通道，但是海量的垃圾信息肆掠的占有有限的帶寬。雖然當(dāng)今過(guò)濾垃圾手段繁多，但現(xiàn)有解決方案大多依附于服務(wù)器或客戶端軟件，通用性和過(guò)濾效果都不甚理想，如何建立一個(gè)統(tǒng)一、gao效的垃圾信息過(guò)濾架構(gòu)是當(dāng)今反垃圾信息技術(shù)的一個(gè)重要研究?jī)?nèi)容。 本文主要的研究?jī)?nèi)容及創(chuàng)新有如下兩個(gè)方面: (1)研發(fā)出一種可擴(kuò)展的基于透明網(wǎng)橋的垃圾信息防火墻系統(tǒng)。該系統(tǒng)創(chuàng)新性的利用透明網(wǎng)橋技術(shù)、iptables、netfilter搭建一個(gè)實(shí)時(shí)過(guò)濾系統(tǒng)。將網(wǎng)絡(luò)中相關(guān)垃圾信息進(jìn)行扣留，然后模擬網(wǎng)絡(luò)協(xié)議棧，完成IP層(分片處理)、TCP層(數(shù)據(jù)流重組)和應(yīng)用層的協(xié)議分析還原，得到完整的信息，利用雙緩沖隊(duì)列保存信息，采用多線程調(diào)度機(jī)制并行調(diào)用過(guò)濾算法進(jìn)行判斷。根據(jù)判斷結(jié)果對(duì)相關(guān)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或丟棄，從而達(dá)到實(shí)時(shí)過(guò)濾垃圾信息的目的。 (2)提出了一個(gè)基于行為過(guò)濾的垃圾信息過(guò)濾算法。系統(tǒng)創(chuàng)新性的將支持向量機(jī)理論用于垃圾信息的行為過(guò)濾，并實(shí)現(xiàn)了規(guī)則匹配過(guò)濾和改進(jìn)的bayes過(guò)濾算法。系統(tǒng)的可擴(kuò)展性很好，用戶可以根據(jù)具體需要定義系統(tǒng)過(guò)濾的協(xié)議類(lèi)型，同時(shí)也能在引擎上擴(kuò)展更you秀的過(guò)濾算法。 本系統(tǒng)du立于服務(wù)器和客戶端，華三H3C防火墻公司，既不運(yùn)行在服務(wù)器上，也不作為客戶端的一個(gè)插件，而是部署在服務(wù)器前端。由于采用透明網(wǎng)橋方式，所以不為服務(wù)器所知。

傳統(tǒng)防火墻與華為防火墻的區(qū)別

傳統(tǒng)防火墻與華為防火墻的區(qū)別：

傳統(tǒng)的防火墻只能基于時(shí)間、IP和端口進(jìn)行感知，而NGFW防火墻基于六個(gè)維度進(jìn)行管控和防護(hù)，分別是應(yīng)用、用戶、內(nèi)容、時(shí)間、威脅、位置。其中：

基于應(yīng)用：運(yùn)用多種手段正確識(shí)別web應(yīng)用內(nèi)超過(guò)6000以上的應(yīng)用層協(xié)議及其附屬功能，從而進(jìn)行準(zhǔn)確的訪問(wèn)控制和業(yè)務(wù)加速。其中也包含移動(dòng)應(yīng)用，內(nèi)蒙古自治防火墻公司，如可以通過(guò)防火墻區(qū)分流量中的語(yǔ)音和文字，進(jìn)而實(shí)現(xiàn)不同的控制策略。

基于用戶：借助于AD活動(dòng)目錄、目錄服務(wù)器或AAA服務(wù)器等，基于用戶進(jìn)行訪問(wèn)控制、QoS管理和深度防護(hù)。

北京盈富邁勝公司-華三H3C防火墻公司-內(nèi)蒙古自治防火墻公司由北京盈富邁勝科技發(fā)展有限公司提供。北京盈富邁勝科技發(fā)展有限公司堅(jiān)持“以人為本”的企業(yè)理念，擁有一支高素質(zhì)的員工隊(duì)伍，力求提供更好的產(chǎn)品和服務(wù)回饋社會(huì)，并歡迎廣大新老客戶光臨惠顧，真誠(chéng)合作、共創(chuàng)美好未來(lái)。北京盈富邁勝——您可信賴(lài)的朋友，公司地址：北京市昌平區(qū)北清路1號(hào)珠江摩爾6號(hào)樓2單元1110，聯(lián)系人：田經(jīng)理。