防火牆

防火牆

信息安全的防護系統
防火牆(英語:Firewall)技術是通過有機結合各類用于安全管理與篩選的軟件和硬件設備,幫助計算機網絡于其内、外網之間構建一道相對隔絕的保護屏障,以保護用戶資料與信息安全性的一種技術。防火牆技術的功能主要在于及時發現并處理計算機網絡運行時可能存在的安全風險、數據傳輸等問題,其中處理措施包括隔離與保護,同時可對計算機網絡安全當中的各項操作實施記錄與檢測,以确保計算機網絡運行的安全性,保障用戶資料與信息的完整性,為用戶提供更好、更安全的計算機網絡使用體驗。[1]
  • 中文名:防火牆
  • 英文名:Firewall
  • 拼音:fang huo qiang
  • 用途:保護用戶電腦
  • 問世時間:1993年

基本定義

所謂“防火牆”是指一種将内部網和公衆訪問網(如Internet)分開的方法,它實際上是一種建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,隔離技術。越來越多地應用于專用網絡與公用網絡的互聯環境之中,尤其以接入Internet網絡為最甚。

防火牆主要是借助硬件和軟件的作用于内部和外部網絡的環境間産生一種保護的屏障,從而實現對計算機不安全網絡因素的阻斷。隻有在防火牆同意情況下,用戶才能夠進入計算機内,如果不同意就會被阻擋于外,防火牆技術的警報功能十分強大,在外部的用戶要進入到計算機内時,防火牆就會迅速的發出相應的警報,并提醒用戶的行為,并進行自我的判斷來決定是否允許外部的用戶進入到内部,隻要是在網絡環境内的用戶,這種防火牆都能夠進行有效的查詢,同時把查到信息朝用戶進行顯示,然後用戶需要按照自身需要對防火牆實施相應設置,對不允許的用戶行為進行阻斷。通過防火牆還能夠對信息數據的流量實施有效查看,并且還能夠對數據信息的上傳和下載速度進行掌握,便于用戶對計算機使用的情況具有良好的控制判斷,計算機的内部情況也可以通過這種防火牆進行查看,還具有啟動與關閉程序的功能,而計算機系統的内部中具有的日志功能,其實也是防火牆對計算機的内部系統實時安全情況與每日流量情況進行的總結和整理。

防火牆是在兩個網絡通訊時執行的一種訪問控制尺度,能最大限度阻止網絡中的黑客訪問你的網絡。是指設置在不同網絡(如可信任的企業内部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監控了内部網和Internet之間的任何活動,保證了内部網絡的安全。

防火牆功能

防火牆對流經它的網絡通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目标計算機上被執行。防火牆還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信,封鎖特洛伊木馬。最後,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。

網絡安全的屏障

一個防火牆(作為阻塞點、控制點)能極大地提高一個内部網絡的安全性,并通過過濾不安全的服務而降低風險。由于隻有經過精心選擇的應用協議才能通過防火牆,所以網絡環境變得更安全。如防火牆可以禁止諸如衆所周知的不安全的NFS協議進出受保護網絡,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊内部網絡。防火牆同時可以保護網絡免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文并通知防火牆管理員。

強化網絡安全策略

通過以防火牆為中心的安全方案配置,能将所有安全軟件(如口令、加密、身份認證、審計等)配置在防火牆上。與将網絡安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如在網絡訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火牆一身上。

監控審計

如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問并作出日志記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火牆能進行适當的報警,并提供網絡是否受到監測和攻擊的詳細信息。另外,收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊,并且清楚防火牆的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。

防止内部信息的外洩

通過利用防火牆對内部網絡的劃分,可實現内部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者,隐私是内部網絡非常關心的問題,一個内部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了内部網絡的某些安全漏洞。使用防火牆就可以隐蔽那些透漏内部細節如Finger,DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名,最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有用戶正在連線上網,這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關内部網絡中的DNS信息,這樣一台主機的域名和IP地址就不會被外界所了解。除了安全作用,防火牆還支持具有Internet服務性的企業内部網絡技術體系VPN(虛拟專用網)。

日志記錄與事件通知

進出網絡的數據都必須經過防火牆,防火牆通過日志對其進行記錄,能提供網絡使用的詳細統計信息。當發生可疑事件時,防火牆更能根據機制進行報警和通知,提供網絡是否受到威脅的信息。

重要性

1、記錄計算機網絡之中的數據信息

數據信息對于計算機網絡建設工作有着積極的促進作用,同時其對于計算機網絡安全也有着一定程度上的影響。通過防火牆技術能夠收集計算機網絡在運行的過程當中的數據傳輸、信息訪問等多方面的内容,同時對收集的信息進行分類分組,借此找出其中存在安全隐患的數據信息,采取針對性的措施進行解決,有效防止這些數據信息影響到計算機網絡的安全。除此之外,工作人員在對防火牆之中記錄的數據信息進行總結之後,能夠明确不同類型的異常數據信息的特點,借此能夠有效提高計算機網絡風險防控工作的效率和質量。

2、防止工作人員訪問存在安全隐患的網站

計算機網絡安全問題之中有相當一部分是由工作人員進入了存在安全隐患的網站所導緻的。通過應用防火牆技術能夠對工作人員的操作進行實時監控,一旦發現工作人員即将進入存在安全隐患的網站,防火牆就會立刻發出警報,借此有效防止工作人員誤入存在安全隐患的網站,有效提高訪問工作的安全性。

3、控制不安全服務

計算機網絡在運行的過程當中會出現許多不安全服務,這些不安全服務會嚴重影響到計算機網絡的安全。通過應用防火牆技術能夠有效降低工作人員的實際操作風險,其能夠将不安全服務有效攔截下來,有效防止非法攻擊對計算機網絡安全造成影響。此外,通過防火牆技術還能夠實現對計算機網絡之中的各項工作進行實施監控,借此使得計算機用戶的各項工作能夠在一個安全可靠的環境之下進行,有效防止因為計算機網絡問題給用戶帶來經濟損失。

意義與特征

防火牆的英文名為“FireWall”,它是一種最重要的網絡防護設備。從專業角度講,防火牆是位于兩個(或多個)網絡間,實施網絡之間訪問控制的一組組件集合。防火牆的本義是指古代構築和使用木制結構房屋的時候,為防止火災的發生和蔓延,人們将堅固的石塊堆砌在房屋周圍作為屏障,這種防護構築物就被稱之為“防火牆”。其實與防火牆一起起作用的就是“門”。如果沒有門,各房間的人如何溝通呢,這些房間的人又如何進去呢?當火災發生時,這些人又如何逃離現場呢?這個門就相當于我們這裡所講的防火牆的“安全策略”,所以在此我們所說的防火牆實際并不是一堵實心牆,而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通信,在這些小孔中安裝了過濾機制,也就是上面所介紹的“單向導通性”。

我們通常所說的網絡防火牆是借鑒了古代真正用于防火的防火牆的喻義,它指的是隔離在本地網絡與外界網絡之間的一道防禦系統。防火可以使企業内部局域網(LAN)網絡與Internet之間或者與其他外部網絡互相隔離、限制網絡互訪用來保護内部網絡。

典型的防火牆具有以下基本特性。

數據必經之地

内部網絡和外部網絡之間的所有網絡數據流都必須經過防火牆。這是防火牆所處網絡位置特性,同時也是一個前提。因為隻有當防火牆是内、外部網絡之間通信的通道,才可以全面、有效地保護企業網部網絡不受侵害。根據美國國家安全局制定的《信息保障技術框架》,防火牆适用于用戶網絡系統的邊界,屬于用戶網絡邊界的安全保護設備。所謂網絡邊界即是采用不同安全策略的兩個網絡連接處,比如用戶網絡和互聯網之間連接、和其它業務往來單位的網絡連接、用戶内部網絡不同部門之間的連接等。防火牆的目的就是在網絡連接之間建立一個安全控制點,通過允許、拒絕或重新定向經過防火牆的數據流,實現對進、出内部網絡的服務和訪問的審計和控制。

典型的防火牆體系網絡結構一端連接企事業單位内部的局域網,而另一端則連接着互聯網。所有的内、外部網絡之間的通信都要經過防火牆,隻有符合安全策略的數據流才能通過防火牆。

網絡流量的合法性

防火牆最基本的功能是确保網絡流量的合法性,并在此前提下将網絡的流量快速的從一條鍊路轉發到另外的鍊路上去。從最早的防火牆模型開始談起,原始的防火牆是一台“雙穴主機”,即具備兩個網絡接口,同時擁有兩個網絡層地址。防火牆将網絡上的流量通過相應的網絡接口接收上來,按照OSI協議棧的七層結構順序上傳,在适當的協議層進行訪問規則和安全審查,然後将符合通過條件的報文從相應的網絡接口送出,而對于那些不符合通過條件的報文則予以阻斷。因此,從這個角度上來說,防火牆是一個類似于橋接或路由器的、多端口的(網絡接口≥2)轉發設備,它跨接于多個分離的物理網段之間,并在報文轉發過程之中完成對報文的審查工作。

抗攻擊免疫力

防火牆自身應具有非常強的抗攻擊免疫力:這是防火牆之所以能擔當企業内部網絡安全防護重任的先決條件。防火牆處于網絡邊緣,它就像一個邊界衛士一樣,每時每刻都要面對黑客的入侵,這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這麼強的本領防火牆操作系統本身是關鍵,隻有自身具有完整信任關系的操作系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能,除了專門的防火牆嵌入系統外,再沒有其它應用程序在防火牆上運行。當然這些安全性也隻能說是相對的。國内的防火牆幾乎被國外的品牌占據了一半的市場,國外品牌的優勢主要是在技術和知名度上比國内産品高。而國内防火牆廠商對國内用戶了解更加透徹,價格上也更具有優勢。防火牆産品中,國外主流廠商為思科(Cisco)、CheckPoint、NetScreen等,國内主流廠商為東軟、天融信、聯想、方正等,它們都提供不同級别的防火牆産品。

防火牆的硬件體系結構曾經曆過通用CPU架構、ASIC架構和網絡處理器架構,他們各自的特點分别如下:通用CPU架構:通用CPU架構最常見的是基于IntelX86架構的防火牆,在百兆防火牆中Intel X86架構的硬件以其高靈活性和擴展性一直受到防火牆廠商的喜愛;由于采用了PCI總線接口,Intel X86架構的硬件雖然理論上能達到2Gbps的吞吐量甚至更高,但是在實際應用中,尤其是在小包情況下,遠遠達不到标稱性能,通用CPU的處理能力也很有限。國内安全設備主要采用的就是基于X86的通用CPU架構。ASIC架構:ASIC(Application Specific Integrated Circuit,專用集成電路)技術是國外高端網絡設備幾年前廣泛采用的技術。由于采用了硬件轉發模式、多總線技術、數據層面與控制層面分離等技術,ASIC架構防火牆解決了帶寬容量和性能不足的問題,穩定性也得到了很好的保證。

ASIC技術的性能優勢主要體現網絡層轉發上,而對于需要強大計算能力的應用層數據的處理則不占優勢,而且面對頻繁變異的應用安全問題,其靈活性和擴展性也難以滿足要求。由于該技術有較高的技術和資金門檻,主要是國内外知名廠商在采用,國外主要代表廠商是Netscreen,國内主要代表廠商為天融信。網絡處理器架構:由于網絡處理器所使用的微碼編寫有一定技術難度,難以實現産品的最優性能,因此網絡處理器架構的防火牆産品難以占有大量的市場份額。随着網絡處理器的主要供應商Intel、Broadcom、IBM等相繼出售其網絡處理器業務,該技術在網絡安全産品中的應用已經走到了盡頭。

主要類型

防火牆技術

防火牆是現代網絡安全防護技術中的重要構成内容,可以有效地防護外部的侵擾與影響。随着網絡技術手段的完善,防火牆技術的功能也在不斷地完善,可以實現對信息的過濾,保障信息的安全性。防火牆就是一種在内部與外部網絡的中間過程中發揮作用的防禦系統,具有安全防護的價值與作用,通過防火牆可以實現内部與外部資源的有效流通,及時處理各種安全隐患問題,進而提升了信息數據資料的安全性。防火牆技術具有一定的抗攻擊能力,對于外部攻擊具有自我保護的作用,随着計算機技術的進步防火牆技術也在不斷發展。

(1)過濾型防火牆

過濾型防火牆是在網絡層與傳輸層中,可以基于數據源頭的地址以及協議類型等标志特征進行分析,确定是否可以通過。在符合防火牆規定标準之下,滿足安全性能以及類型才可以進行信息的傳遞,而一些不安全的因素則會被防火牆過濾、阻擋。

(2)應用代理類型防火牆

應用代理防火牆主要的工作範圍就是在OSI的最高層,位于應用層之上。其主要的特征是可以完全隔離網絡通信流,通過特定的代理程序就可以實現對應用層的監督與控制。這兩種防火牆是應用較為普遍的防火牆,其他一些防火牆應用效果也較為顯著,在實際應用中要綜合具體的需求以及狀況合理的選擇防火牆的類型,這樣才可以有效地避免防火牆的外部侵擾等問題的出現。

(3)複合型

截至2018年應用較為廣泛的防火牆技術當屬複合型防火牆技術,綜合了包過濾防火牆技術以及應用代理防火牆技術的優點,譬如發過來的安全策略是包過濾策略,那麼可以針對報文的報頭部分進行訪問控制;如果安全策略是代理策略,就可以針對報文的内容數據進行訪問控制,因此複合型防火牆技術綜合了其組成部分的優點,同時摒棄了兩種防火牆的原有缺點,大大提高了防火牆技術在應用實踐中的靈活性和安全性。

關鍵技術

1、包過濾技術

防火牆的包過濾技術一般隻應用于OSI7層的模型網絡層的數據中,其能夠完成對防火牆的狀态檢測,從而預先可以把邏輯策略進行确定。邏輯策略主要針對地址、端口與源地址,通過防火牆所有的數據都需要進行分析,如果數據包内具有的信息和策略要求是不相符的,則其數據包就能夠順利通過,如果是完全相符的,則其數據包就被迅速攔截。計算機數據包傳輸的過程中,一般都會分解成為很多由目的地址等組成的一種小型數據包,當它們通過防火牆的時候,盡管其能夠通過很多傳輸路徑進行傳輸,而最終都會彙合于同一地方,在這個目地點位置,所有的數據包都需要進行防火牆的檢測,在檢測合格後,才會允許通過,如果傳輸的過程中,出現數據包的丢失以及地址的變化等情況,則就會被抛棄。

2、加密技術

計算機信息傳輸的過程中,借助防火牆還能夠有效的實現信息的加密,通過這種加密技術,相關人員就能夠對傳輸的信息進行有效的加密,其中信息密碼是信息交流的雙方進行掌握,對信息進行接受的人員需要對加密的信息實施解密處理後,才能獲取所傳輸的信息數據,在防火牆加密技術應用中,要時刻注意信息加密處理安全性的保障。在防火牆技術應用中,想要實現信息的安全傳輸,還需要做好用戶身份的驗證,在進行加密處理後,信息的傳輸需要對用戶授權,然後對信息接收方以及發送方要進行身份的驗證,從而建立信息安全傳遞的通道,保證計算機的網絡信息在傳遞中具有良好的安全性,非法分子不擁有正确的身份驗證條件,因此,其就不能對計算機的網絡信息實施入侵。

3、防病毒技術

防火牆具有着防病毒的功能,在防病毒技術的應用中,其主要包括病毒的預防、清除和檢測等方面。防火牆的防病毒預防功能來說,在網絡的建設過程中,通過安裝相應的防火牆來對計算機和互聯網間的信息數據進行嚴格的控制,從而形成一種安全的屏障來對計算機外網以及内網數據實施保護。計算機網絡要想進行連接,一般都是通過互聯網和路由器連接實現的,則對網絡保護就需要從主幹網的部分開始,在主幹網的中心資源實施控制,防止服務器出現非法的訪問,為了杜絕外來非法的入侵對信息進行盜用,在計算機連接的端口所接入的數據,還要進行以太網和IP地址的嚴格檢查,被盜用IP地址會被丢棄,同時還會對重要信息資源進行全面記錄,保障其計算機的信息網絡具有良好安全性。

4、代理服務器

代理服務器是防火牆技術引用比較廣泛的功能,根據其計算機的網絡運行方法可以通過防火牆技術設置相應的代理服務器,從而借助代理服務器來進行信息的交互。在信息數據從内網向外網發送時,其信息數據就會攜帶着正确IP,非法攻擊者能夠分局信息數據IP作為追蹤的對象,來讓病毒進入到内網中,如果使用代理服務器,則就能夠實現信息數據IP的虛拟化,非法攻擊者在進行虛拟IP的跟蹤中,就不能夠獲取真實的解析信息,從而代理服務器實現對計算機網絡的安全防護。另外,代理服務器還能夠進行信息數據的中轉,對計算機内網以及外網信息的交互進行控制,對計算機的網絡安全起到保護。

部署方式

防火牆是為加強網絡安全防護能力在網絡中部署的硬件設備,有多種部署方式,常見的有橋模式、網關模式和NAT模式等。

1、橋模式

防火牆技術

橋模式也可叫作透明模式。最簡單的網絡由客戶端和服務器組成,客戶端和服務器處于同一網段。為了安全方面的考慮,在客戶端和服務器之間增加了防火牆設備,對經過的流量進行安全控制。正常的客戶端請求通過防火牆送達服務器,服務器将響應返回給客戶端,用戶不會感覺到中間設備的存在。工作在橋模式下的防火牆沒有IP地址,當對網絡進行擴容時無需對網絡地址進行重新規劃,但犧牲了路由、VPN等功能。

2、網關模式

網關模式适用于内外網不在同一網段的情況,防火牆設置網關地址實現路由器的功能,為不同網段進行路由轉發。網關模式相比橋模式具備更高的安全性,在進行訪問控制的同時實現了安全隔離,具備了一定的私密性。

3、NAT模式

NAT(Network Address Translation)地址翻譯技術由防火牆對内部網絡的IP地址進行地址翻譯,使用防火牆的IP地址替換内部網絡的源地址向外部網絡發送數據;當外部網絡的響應數據流量返回到防火牆後,防火牆再将目的地址替換為内部網絡的源地址。NAT模式能夠實現外部網絡不能直接看到内部網絡的IP地址,進一步增強了對内部網絡的安全防護。同時,在NAT模式的網絡中,内部網絡可以使用私網地址,可以解決IP地址數量受限的問題。

如果在NAT模式的基礎上需要實現外部網絡訪問内部網絡服務的需求時,還可以使用地址/端口映射(MAP)技術,在防火牆上進行地址/端口映射配置,當外部網絡用戶需要訪問内部服務時,防火牆将請求映射到内部服務器上;當内部服務器返回相應數據時,防火牆再将數據轉發給外部網絡。使用地址/端口映射技術實現了外部用戶能夠訪問内部服務,但是外部用戶無法看到内部服務器的真實地址,隻能看到防火牆的地址,增強了内部服務器的安全性。

4、高可靠性設計

防火牆都部署在網絡的出入口,是網絡通信的大門,這就要求防火牆的部署必須具備高可靠性。一般IT設備的使用壽命被設計為3至5年,當單點設備發生故障時,要通過冗餘技術實現可靠性,可以通過如虛拟路由冗餘協議(VRRP)等技術實現主備冗餘。到2019年為止,主流的網絡設備都支持高可靠性設計。

具體應用

1、内網中的防火牆技術

防火牆在内網中的設定位置是比較固定的,一般将其設置在服務器的入口處,通過對外部的訪問者進行控制,從而達到保護内部網絡的作用,而處于内部網絡的用戶,可以根據自己的需求明确權限規劃,使用戶可以訪問規劃内的路徑。總的來說,内網中的防火牆主要起到以下兩個作用:一是認證應用,内網中的多項行為具有遠程的特點,隻有在約束的情況下,通過相關認證才能進行;二是記錄訪問記錄,避免自身的攻擊,形成安全策略。

2、外網中的防火牆技術

應用于外網中的防火牆,主要發揮其防範作用,外網在防火牆授權的情況下,才可以進入内網。針對外網布設防火牆時,必須保障全面性,促使外網的所有網絡活動均可在防火牆的監視下,如果外網出現非法入侵,防火牆則可主動拒絕為外網提供服務。基于防火牆的作用下,内網對于外網而言,處于完全封閉的狀态,外網無法解析到内網的任何信息。防火牆成為外網進入内網的唯一途徑,所以防火牆能夠詳細記錄外網活動,彙總成日志,防火牆通過分析日常日志,判斷外網行為是否具有攻擊特性。

未來趨勢

随着網絡技術的不斷發展,防火牆相關産品和技術也在不斷進步。

(1)防火牆的産品發展趨勢

截至2018年,就防火牆産品而言,新的産品有:智能防火牆、分布式防火牆和網絡産品的系統化應用等。

智能防火牆:在防火牆産品中加入人工智能識别技術,不但提高防火牆的安全防範能力,而且由于防火牆具有自學習功能,可以防範來自網絡的最新型攻擊。

分布式防火牆:一種全新的防火牆體系結構。網絡防火牆、主機防火牆和管理中心是分布式防火牆的構成組件。傳統防火牆實際上是在網絡邊緣上實現防護的防火牆,而分布式防火牆則在網絡内部增加了另外一層安全防護。分布式防火牆的優點有:支持移動計算;支持加密和認證功能,與網絡拓撲無關等。

網絡産品的系統化應用:主要是指某些廠商的安全産品直接與防火牆進行融合,打包銷售。另外,有些廠商的産品之間雖然各自獨立,當各個産品之間可以進行通信。

(2)防火牆的技術發展趨勢

包過濾技術作為防火牆技術中最核心的技術之一,自身具有比較明顯的缺點:不具備身份驗證機制和用戶角色配置功能。因此,一些産品開發商就将AAA認證系統集成到防火牆中,确保防火牆具備支持基于用戶角色的安全策略功能。多級過濾技術就是在防火牆中設置多層過濾規則。在網絡層,利用分組過濾技術攔截所有假冒的IP源地址和源路由分組;根據過濾規則,傳輸層攔截所有禁止出/入的協議和數據包;在應用層,利用FTP、SMTP等網關對各種Internet的服務進行監測和控制。

綜合來講,上述技術都是對已有防火牆技術的有效補充,是提升已有防火牆技術的彌補措施。

(3)防火牆的體系結構發展趨勢

随着軟硬件處理能力、網絡帶寬的不斷提升,防火牆的數據處理能力也在得到提升。尤其近幾年多媒體流技術(在線視頻)的發展,要求防火牆的處理時延必須越來越小。基于以上業務需求,防火牆制造商開發了基于網絡處理器和基于ASIC(ApplicationSpecificIntegratedCircuits,專用集成電路)的防火牆産品。基于網絡處理器的防火牆本質上還是依賴于軟件系統的解決方案,因此軟件性能的好壞直接影響防火牆的性能。而基于ASIC的防火牆産品具有定制化、可編程的硬件芯片以及與之相匹配的軟件系統,因此性能的優越性不言而喻,可以很好地滿足客戶對系統靈活性和高性能的要求。

相關詞條

相關搜索

其它詞條