ATM上的防火墙加速技术

网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息 。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等 。当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段 。防火墙不是什么新技术,但高性能防火墙却是 。从前防火墙使用软件来分析每个数据包,然后再做出转发或是丢弃数据包的决定,这就降低了防火墙的速度 。
当管理人员将防火墙连接到低速广域网接入链路上时,防火墙不会形成瓶颈 。然而,需要防火墙的安全边缘不总是存在于广域网链路上 。如财务部门的网络就需要保护,以免受同一网络环境中其它部门的影响 。此外,广域网链路的速度随着Internet的发展而增加,连接到城域网络的多千兆位链路将在今后几年开始普及 。在这种速度上,老式防火墙的性能瓶颈问题将会暴露出来 。
新一代防火墙加速器利用流识别技术来消除性能瓶颈,使管理人员可以在自己需要的位置安装防火墙 。流是由在特定IP域中(例如,源IP地址、目的地址和TCP端口号)具有相同值的数据包组成的串,防火墙加速器利用硬件对这些域进行分析 。
流的第一个包转向传送到保存安全策略的传统软件防火墙上,然后加速器独立的学会识别和处理(转发、丢弃或监控)随后的包 。这就使防火墙具有了线速度的安全功能 。防火墙加速器两年前就已问世,并具有10/100Mbps和千兆位以太网接口 。
然而,许多有着最苛求安全需要的网络管理人员却选择ATM作为网络传输媒介,他们这样做是基于下列几个理由:ATM面向连接的架构使它可以抵御拒绝攻击;将带宽配置赋予连接保证了连接的性能;ATM信元的固定长度使高速分组加密变得可行和廉价 。
尽管ATM被经常用在高度安全的网络中,并通常用在广域网接入可信赖边缘上,但是,由于早期加速器不能以线速度分析被分割为53字节长度的IP包,因此早期的防火墙加速器只支持以太网 。
美国国家安全局利用一项技术解决了这个问题,这项技术跟踪ATM包分帧过程来提取每个包的IP包头副本,不耗费任何时间就可将信元重新组装成包 。通过选择的商业合作伙伴,这项技术促成了新一代IP/ATM防火墙加速器的诞生 。
利用IP/ATM防火墙加速器,第一个包的信元被转发到防火墙控制处理器(FCP),然后FCP根据其过滤策略来决定是否转发、丢弃或监控数据包 。
转发的包被重新注入到信元流中,并且FCP通知防火墙内的处理器对这个流随后的信元所采取的行动 。一台采用这项技术的防火墙加速器可以提供OC-3c或OC-12c接口的选择,而这两种速度都可以执行线速度防火墙功能 。

    推荐阅读