区别与传统的安全策略,一体化策略具有以下特点:
策略配置基于全局,不再基于区域间配置,安全区域只是条件的可选配置项,也可在一条规则中配置多个源区域或目标区域。
默认情况---所有区域间的流量,包括outbound流量。必须通过策略配置放行所需流量。
安全策略中的默认动作代替了默认过滤。传统的防火墙的过滤基于区域间的,只针对特定的区域间生效,而新一代防火墙的默认动作全局生效,且默认动作为---,即---一切流量,除非允许。
防火墙的硬件体系结构曾经历过通用cpu架构、asic架构和网络处理器架构,他们各自的特点分别如下:
通用cpu架构
通用cpu架构常见的是基于intel x86架构的防火墙,在百兆防火墙中intel x86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的---;由于采用了pci总线接口,intel x86架构的硬件虽然理论上能达到2gbps的吞吐量甚至更高,但是在实际应用中,防御系统设备,尤其是在小包情况下,远远达不到标称性能,通用cpu的处理能力也很有限。
国内安全设备主要采用的就是基于x86的通用cpu架构。
asic架构
asic技术是国外网络设备几年前广泛采用的技术。由于采用了硬件转发模式、多总线技术、数据层面与控制层面分离等技术, asic架构防火墙解决了带宽容量和性能不足的问题,稳定性也得到了---的---。
asic技术的---势主要体现在网络层转发上,而对于需要---计算能力的应用层数据的处理则不---势,而且面对频繁变异的应用安全问题,其灵活性和扩展性也难以满足要求。
网络处理器架构
由于网络处理器所使用的微码编写有一定技术难度,难以实现产品的性能,因此网络处理器架构的防火墙产品难以占有大量的市场份额。
入方向(inbound):数据由低级别的安全区域向更高一层级别的安全区域传输的方向。
出方向(outbound):数据由更高一层级别的安全区域向低级别的安全区域传输的方向。
因为防火墙的状态化检测机制,所以针对数据流通常只重点处理首报文,华三h3c防御系统设备,安全策略一旦允许首报文允许通过,那么将会形成一个会话表,后续报文和返回的报文如果匹配到会话表将会直接放行,而不再查看策略,华为防御系统设备,从而提升防火墙的转发效率。如,trust区域的---访问untrust区域的互联网,只需要在trust到untrust的outbound方向应用安全策略即可,不需要做untrust到trust区域的安全策略。
防御系统设备-北京盈富迈胜公司-华三h3c防御系统设备由北京盈富迈胜科技发展有限公司提供。北京盈富迈胜科技发展有限公司坚持“以人为本”的企业理念,拥有一支高素质的员工队伍,力求提供---的产品和服务回馈社会,并欢迎广大新老客户光临惠顾,真诚合作、共创美好未来。北京盈富迈胜——您可---的朋友,公司地址:北京市昌平区北清路1号珠江摩尔6号楼2单元1110,联系人:田经理。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz340201.zhaoshang100.com/zhaoshang/281373695.html
关键词:
滇公网安备 53011202000392号