防火墙不是什么新技术,但高性能防火墙却是。从前防火墙使用软件来分析每个数据包,然后再做出转发或是丢弃数据包的决定,这就降低了防火墙的速度。
当管理人员将防火墙连接到低速广域网接入链路上时,防火墙不会形成瓶颈。然而,需要防火墙的安全边缘不总是存在于广域网链路上。如财务部门的网络就需要保护,以免受同一网络环境中其它部门的影响。此外,广域网链路的速度随着Internet的发展而增加,连接到城域网络的多千兆位链路将在今后几年开始普及。在这种速度上,老式防火墙的性能瓶颈问题将会暴露出来。
新一代防火墙加速器利用流识别技术来消除性能瓶颈,使管理人员可以在自己需要的位置安装防火墙。流是由在特定IP域中(例如,源IP地址、目的地址和TCP端口号)具有相同值的数据包组成的串,防火墙加速器利用硬件对这些域进行分析。
流的第一个包转向传送到保存安全策略的传统软件防火墙上,然后加速器独立的学会识别和处理(转发、丢弃或监控)随后的包。这就使防火墙具有了线速度的安全功能。防火墙加速器两年前就已问世,并具有10/100Mbps和千兆位以太网接口。
然而,许多有着最苛求安全需要的网络管理人员却选择ATM作为网络传输媒介,他们这样做是基于下列几个理由:ATM面向连接的架构使它可以抵御拒绝攻击;将带宽配置赋予连接保证了连接的性能;ATM信元的固定长度使高速分组加密变得可行和廉价。
尽管ATM被经常用在高度安全的网络中,并通常用在广域网接入可信赖边缘上,但是,由于早期加速器不能以线速度分析被分割为53字节长度的IP包,因此早期的防火墙加速器只支持以太网。
美国国家安全局利用一项技术解决了这个问题,这项技术跟踪ATM包分帧过程来提取每个包的IP包头副本,不耗费任何时间就可将信元重新组装成包。通过选择的商业合作伙伴,这项技术促成了新一代IP/ATM防火墙加速器的诞生。
利用IP/ATM防火墙加速器,第一个包的信元被转发到防火墙控制处理器(FCP),然后FCP根据其过滤策略来决定是否转发、丢弃或监控数据包。
转发的包被重新注入到信元流中,并且FCP通知防火墙内的处理器对这个流随后的信元所采取的行动。一台采用这项技术的防火墙加速器可以提供OC-3c或OC-12c接口的选择,而这两种速度都可以执行线速度防火墙功能。
