Netscreen VS. checkpoint 杂谈 Part I (version:0.9)7

br>　　netscreen使用的是核心是SPF，所谓SPF，一言以蔽之，即：在传统的包过滤的基础上增加了对数据包的状态判断。一个数据包如果不是意图建立连接的数据包同时又不属于任何已经建立的连接的话，这个数据包直接就被丢弃或者拒绝-根本无需去和访问控制列作比较。这样就大大增加了安全性，同时提高了性能。目前基本上主流的防火墙都采用了这一非常成熟的技术，与此同时，为了更加有效的发挥防火墙的作用，netscreen公司和其他大多数公司一样，在对数据包的处理方式上，除了SPF，还增加了Application Proxy方式，利用这一方式，netscreen对高层的一些应用可以进一步加以控制，比如利用syn gateway抵抗Denial of service攻击即为一例。
　　（注：关于SPF，SPI， Application Proxy等具体概念，不是这里讨论的内容，大家可参考相关资料）
　　
　　我们来看看netscreen是如何利用ASIC芯片和SPF处理tcp数据包的：
　　当数据包到达netscreen的网络端口时，要先进行基本的有效性检查，验证数据包合法后，screenos检查这个数据包是否是已存在的某个连接的session的一部分（比如属于一个已经建立成功的telnet）。
　　如果该数据包声明属于已存在的某个连接的session的一部分

页码：[1] [2] [3] [4] [5] [6] [7] [8] 第7页、共8页

设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明