Netscreen VS. checkpoint 杂谈 Part I (version:0.9)8

，那么进一步检查tcp的sequeuce号等参数来确认是有效的数据包，是就通过，否丢弃。
　　
　　如果该数据包不属于任何已经建立的session，那么搜索管理员事先设置的访问控制列内容，如果访问控制列内没有符合该数据包的内容，数据包被丢弃，如果存在符合该数据包特性的访问控制规则，那么一条新的session建立。请注意这些工作是在它的ASIC芯片上进行的。
　　
　　为什么要强调这一点呢？我们来考虑如下问题：决定防火墙性能的主要取决于什么？
　　为了回答这个问题，我们先温习一下防火墙的基本概念：防火墙是在两个网络间实现访问控制的一个或一组软件或硬件系统。防火墙的最主要功能就是屏蔽和允许指定的数据通讯，而该功能的实现又主要是依靠一套访问控制策略，由访问控制策略来决定通讯的合法性。
　　从上面的防火墙的概念我们可以看出，防火墙的主要工作就是进行访问控制，那么同样条件下，访问控制的处理速度越快，那么防火墙的性能自然就愈好。
　　同时，另外一方面，一般来说，某个数据包被拒绝，往往是与访问控制列的acl逐条比较，如果前面的acl不符合，那么在访问控制列的最后部分才会被拒绝。如果系统性能较差，这会是个非常耗费数据载入中...

页码：[1] [2] [3] [4] [5] [6] [7] [8] 第8页、共8页

设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明