您的位置: 网界网 > 周报全文 > 正文

[周报全文]NP与安全设备

2003年09月01日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:NP与安全设备

标签
    NP与安全设备

    ■ 叶小列 


    NP被看好,与网络设备和安全设备功能界限的日趋淡化息息相关。交换机和路由器需要支持安全模块,防火墙需要支持VLAN管理和IDS功能。这就为能够进行完整性校验、身份认证和数据加密的NP打开了市场。


    防火墙、IDS是广泛使用的安全应用设备。这些设备不仅需要为状态过滤和特征匹配提供高性能计算平台,同时也需要支持病毒扫描等多种服务。

    防火墙的状态检测技术需要对通信状态建立数据库,跟踪状态变化的轨迹,然后根据规则和策略,决定通信的终止和数据包的处理。IDS的深度协议解析和状态匹配需要占用CPU的大量处理能力。NP(尤其具有内容检查的NP)通过提供数据包操作引擎和固化分类算法,达到高速处理和分担主CPU负荷的效果。

    由于防护对象所处的网络环境和应用环境的不同,许多应用协议和安全制度对防火墙和IDS的性能提出更高的要求。例如,当防火墙对数据中心数据库服务器进行防护时,由于应用服务器和数据库服务器之间的通信协议(如ORACLE的SQL.net)使用了动态端口分配方法,基于状态包过滤的防火墙将影响对数据库的访问。此外,当多媒体通信协议穿越防火墙时,包过滤的防火墙将成为瓶颈,基本上是不可用的。对于这种数据包之间、协议之间、应用和数据包之间具有状态关系的通信,只能使用基于状态流的防火墙技术,维护点对点的状态记录,才能为视频会议等应用提供保证。以H.323为例(+微信关注网络世界),多媒体通信过程包括:通过Q.931建立连接、通过H.323-H.245分配动态端口、RTP/RTCP对音频和视频流进行控制。状态包过滤只能识别其中的IP、TCP和UDP包,而协议和应用相关的信息必须通过状态流分类技术加以识别和标记。在透明数据库访问协议和面向状态流的包分类方面,NP借助其可编程性和专用处理逻辑表现出色。

    NP也为VPN技术提供了高性能、高灵活性的平台。VPN技术利用认证和加密等技术,为用户的信息安全、增值服务和业务流程提供保证。VPN技术包括二层隧道技术的PPP、L2F和L2TP,以及IP层的IPSec和四层协议SSL/TLS。

    IPSec是当前比较流行的IP层解决方案,在加密协议和密钥管理方面具有明显的优势。IPSec协议包主要包括认证报头(AH)、安全加载封装(ESP)、互联网密钥管理(IKMP)三部分。在认证报头的产生中,系统通过MD5或SHA-1实现数字签名;在安全加载封装过程,系统需要对数据包进行DES或3DES加密。NP固化了大量的标准算法,结合高性能的硬件架构,能够快速、高效地实现VPN应用。NP的可编程性为VPN产品的设计和实现提供了很大帮助。它能够根据网络环境和用户业务情况帮助VPN灵活地使用标记和实现QOS,为客户或系统集成商提供可配置或可编程的能力。 

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]