国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　聞名的IT市場咨詢機(jī)構(gòu)IDC 在2004年定義的統(tǒng)一威脅治理(UTM)產(chǎn)品立異性中,第一次將多種安然功能集成至統(tǒng)一個產(chǎn)品內(nèi)，這類編制在逢迎用戶需求和切近市場成長趨勢上無疑是成功的。但是，純真作為收集安然手藝范疇的進(jìn)步來講，這類模式卻有著巨大年夜的缺點(diǎn),即其實(shí)現(xiàn)的編制僅逗留在“公用硬件平臺+統(tǒng)一用戶界面”的層次上，功能貧乏真正暢通領(lǐng)悟，這就是原定義的UTM后患地點(diǎn)。下一代防火墻的出世其實(shí)最首要的一點(diǎn)就是為體味決這一缺點(diǎn)，其首要的理念就是經(jīng)由過程“一體化引擎+統(tǒng)一的策略框架”來包管產(chǎn)品整體的高機(jī)能和易用性，從而真正實(shí)現(xiàn)多種安然功能的暢通領(lǐng)悟。

　　一. 一體化引擎

　　甚么是一體化引擎？所謂一體化引擎即在初始系統(tǒng)架構(gòu)設(shè)計(jì)時即采取一體化的思惟，充分考慮到此刻及將來的安然營業(yè)景象，將所有的安然需求納進(jìn)引擎設(shè)計(jì)中往。如許的一個較著的長處是往除冗余，加倍高效，抱負(fù)的實(shí)現(xiàn)是每個報(bào)文只需要解析一遍便可完成所有安然模塊的查抄。更形象地說,就仿佛工廠里面的流水線概念，本來是多條流水線共同完成的一個任務(wù)，從頭設(shè)計(jì)今后是一條流水線自力完成一個任務(wù)。

　　下一代防火墻的一體化引擎數(shù)據(jù)包措置流程大年夜致分為以下幾個階段：

　　1. 數(shù)據(jù)包進(jìn)站措置階段

　　進(jìn)站首要完成數(shù)據(jù)包的領(lǐng)受及L2-L4層的數(shù)據(jù)包解析過程，并且按照解析成果決定是不是需要進(jìn)進(jìn)防火墻安然策略措置流程，不然該數(shù)據(jù)包就會被丟棄。在這個過程中還會鑒定是不是顛末VPN數(shù)據(jù)加密，假定是，則會進(jìn)步前輩行解密后再做進(jìn)一步解析。

　　2. 主引擎措置階段

　　主引擎措置大年夜致會經(jīng)歷三個過程：防火墻策略匹配及成立會話、利用辨認(rèn)、內(nèi)容檢測。

　　1) 成立會話信息

　　當(dāng)數(shù)據(jù)包進(jìn)進(jìn)主引擎后，起首會進(jìn)行會話查找，看是不是存在該數(shù)據(jù)包相干的會話。假定存在，則會根據(jù)已設(shè)定的防火墻策略進(jìn)行匹配和對應(yīng)。不然就需要成立會話。具體步調(diào)簡述為：進(jìn)行轉(zhuǎn)發(fā)相干的信息查找;而掉隊(duì)行NAT相干的策略信息查找;最掉隊(duì)行防火墻的策略查找，查抄策略是不是承諾。假定承諾則遵循之前的策略信息成立對應(yīng)的會話，假定不承諾則丟棄該數(shù)據(jù)包。

　　2) 利用辨認(rèn)

　　數(shù)據(jù)包進(jìn)行完初始的防火墻安然策略匹配并成立對應(yīng)會話信息后，會進(jìn)行利用辨認(rèn)檢測和措置，假定該利用為已可辨認(rèn)的利用，則對此利用進(jìn)行辨認(rèn)和標(biāo)識表記標(biāo)幟并直接進(jìn)進(jìn)下一個措置流程。假定該利用為未辨認(rèn)利用，則需要進(jìn)行利用辨認(rèn)子流程，對利用進(jìn)行特點(diǎn)匹配，和談解碼，行動闡發(fā)等措置從而標(biāo)識表記標(biāo)幟該利用。利用標(biāo)識表記標(biāo)幟完成后，會查找對應(yīng)的利用安然策略，假定策略承諾則預(yù)備下一階段流程;假定策略不承諾，則直接丟棄。

　　3) 內(nèi)容檢測

　　主引擎工作的最后一個流程為內(nèi)容檢測流程，主如果需要對數(shù)據(jù)包進(jìn)行深層次的和談解碼、內(nèi)容解析、模式匹配等把持，實(shí)現(xiàn)對數(shù)據(jù)包內(nèi)容的完全解析;然后經(jīng)由過程查找相對應(yīng)的內(nèi)容安然策略進(jìn)行匹配，最后根據(jù)安然策略履行諸如：丟棄、報(bào)警、記實(shí)日記等動作。

　　3. 數(shù)據(jù)包出站措置階段

　　當(dāng)數(shù)據(jù)包顛末內(nèi)容檢測模塊后，會進(jìn)進(jìn)出站措置流程。起首系統(tǒng)會路由等信息查找，然后履行QOS，IP數(shù)據(jù)包分片的把持，假定該數(shù)據(jù)走VPN通道的話，還需要經(jīng)由過程VPN加密，最掉隊(duì)行數(shù)據(jù)轉(zhuǎn)發(fā)。

　　二. 與統(tǒng)一策略的關(guān)系

　　統(tǒng)一策略實(shí)際上是經(jīng)由過程統(tǒng)一套安然策略將處于不合層級的安然模塊有效地整合在一路，在策略匹配挨次及層次上實(shí)現(xiàn)系統(tǒng)智能匹配，其首要的目標(biāo)是為了供給更好的可用性。舉個例子：有些產(chǎn)品HTTP的檢測，URL過濾是經(jīng)由過程代辦署理模塊做的，而其他和談的進(jìn)侵檢測是用別的的引擎。 用戶必需大白這些模塊間的依托關(guān)系，別離做出準(zhǔn)確的購買才能達(dá)到需要的功能，而統(tǒng)一策略可以有效的解決上述標(biāo)題問題。

　　一體化引擎則是從系統(tǒng)實(shí)現(xiàn)的角度將統(tǒng)一策略所觸及到的各個安然營業(yè)模塊經(jīng)由過程收集措置、和談闡發(fā)、威脅檢測等底層手藝進(jìn)行實(shí)現(xiàn)，最終包管全部系統(tǒng)高機(jī)能，低時延，同時為統(tǒng)一策略的實(shí)現(xiàn)供給有效根本。

　　三. 結(jié)束語

　　綜上所述，下一代防火墻與統(tǒng)一威脅治理(UTM)的底子辨別其實(shí)其實(shí)不在于利用安然功能本身，而在于系統(tǒng)整體架構(gòu)設(shè)計(jì)，就像節(jié)能燈和白熾燈的辨別，當(dāng)然都能發(fā)光，可是前者的節(jié)能結(jié)果及性價比遠(yuǎn)遠(yuǎn)高于后者，而后者終將被用戶和市場合裁減。作為此趨勢的引領(lǐng)和鞭策者，綠盟科技等安然廠商推出的下一代防火墻http://www.nsfocus.com/event/nf/index.html 在安然引擎系統(tǒng)布局設(shè)計(jì)上和建設(shè)策略治理上集中表現(xiàn)了“一體化”的特點(diǎn)，實(shí)現(xiàn)了安然一體、建設(shè)治理一體的雙一體，為用戶在高機(jī)能安然防護(hù)、高效治理上供給了極大年夜價值。