为了达到2-7层的安全防护,防火墙技术人员推出了种种技术和方案来解决这些问题,有软件的,也有硬件的,包括目前热度正高的np技术,也是希望通过硬件的改进直接获得高性能。但是,我们应该看到,采用硬件的方法固然能提高产品的性能,但也需要软件的配合,而对应用的防护最终也需要软件来实现,可以说,防火墙技术最终的决定性因素还是在软件上。
方正fg 3000系列的智能ip识别(intelligent ip identifying)技术是防火墙技术中最先进的一种。它采用先进的内核调度算法、零拷贝流分析算法(zesa算法,zero-copy stream analysis)和快速搜索算法实现高效的数据应用分类和规则快速定位;再通过将其与状态检测技术相结合,对会话进行访问控制。
传统复合型防火墙解决了应用防护的问题,但是在性能上难以两全,一个很重要的原因是其采用的算法类似于代理服务技术,必须要在内存中组包,进行额外的拷贝、对齐等操作,大大降低了防火墙的处理性能,严重影响了吞吐量、时延和总并发连接数等关键指标。
智能ip识别技术中先进的zesa算法可以省去这一步骤,通过高效偏序匹配,以及网络包的安全模式识别,在进行有效数据流处理的同时,保持防火墙处理的高性能。
zesa算法在防火墙内核中建立了两张表:连接状态表和应用分类表。连接状态表用以记录每个数据连接的情况,和状态检测技术中的连接状态表类似。应用分类表则用于记录每个连接对应的应用类型以及相关的端口、内容信息。网络上的数据包经过时,同时查找两张表,一次性识别出数据包所属的连接和应用类型,并对其应用关键字做索引备查,这样节省了在内核进行组包和拷贝的开销,保证内核对应用进行检查时的效率。
内置的应用分类表中存有当前连接的应用相关信息,例如对于视频/音频应用的h.323连接,应用分类表中还存放了其通过协商动态打开的端口信息,通过这些信息,可以在应用需要时打开相关端口,应用完成时封闭这些端口,实现安全的应用防护。
传统的防火墙中另外一个常见的问题是当规则数增加时防火墙性能下降,这是因为防火墙规则搜索算法是顺序查找的,在复合型防火墙中,应用的防护同时意味着防火墙需要检测对象的增加,在防火墙应用规则数增大时,防火墙需要搜索的对象也会成指数增长,防火墙的性能自然也会受到较大的影响。
为了解决这一问题,智能ip识别技术在内核中采用快速搜索算法,结合b*树搜索和哈希算法,使用流水线方式并行搜索,在保持规则优先级顺序的情况下,大幅降低平均搜索深度及最大搜索深度,从而减少规则搜索判断所需时间,在防火墙规则增大时也能保证高效的规则定位。
在智能ip识别技术的支撑下,防火墙的多媒体支持功能和应用过滤功能都非常出色。智能ip识别可以全面的支持h.323、upnp等多媒体协议,支持netmeeting、msn、 realplay、mediaplay、iptv等关键多媒体应用。在不降低用户网络安全级别和性能的前提下,智能ip识别技术支持这些协议和应用进行完整的状态检测,并且提供完整的nat支持;智能ip识别技术的应用过滤功能效率出众,不再成为网络瓶颈,为应用过滤真正的实现迈出了重要一步。
此外,智能ip识别技术提供了完整的2-7层协议分析的框架,对各种底层协议,如vlan/trunk、bridge/stp、高效热备协议、vpn协议、动态路由、arp代理等都有良好的支持,提供了透明、路由、混杂等模式。在复杂网络拓扑下,还能有效的支持vpn的nat穿越,h.323、upnp等多媒体协议的nat支持等。在实施时,对原有网络拓扑的改动很小,给用户提供最大的便捷和安全。
智能ip识别技术突破了防火墙技术发展的瓶颈,提供了完整高效的2-7层的网络安全防护,较好的解决了用户在实际应用中对防火墙应用防护和性能方面的需求。随着用户对防火墙的应用防护能力和性能需求的进一步发展,我们有理由相信,现有的各种防火墙技术也会不断发展完善,更好的去满足用户的需求。