《防火墙知识介绍优秀PPT.ppt》由会员分享,可在线阅读,更多相关《防火墙知识介绍优秀PPT.ppt(51页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、防火墙学问介绍防火墙学问介绍朱圣波网络平安产品事业部市场营销部2005年1月20日提纲提纲网络平安现状网络平安现状防火墙概念防火墙概念防火墙关键技术防火墙关键技术防火墙功能一览防火墙功能一览防火墙性能指标防火墙性能指标防火墙发展及趋势防火墙发展及趋势网络平安现状网络平安现状随着信息化进程的深化和互联网的快速发展,网络平安问题已成为信息时代人类共同面临的挑战,国内的网络平安问题也日益突出。具体表现为:计算机系统受病毒感染和破坏的状况相当严峻电脑黑客活动已形成重要威逼信息基础设施面临网络平安的挑战信息系统在预料、防范、反应和复原实力方面存在很多薄弱环节网络政治颠覆活动频繁网络平安现状网络平安现状据
2、统计,目前美国每年由于网络平安问题而遭遇的经济损失超过170亿美元,德国、英国也均在数十亿美元以上,法国为100亿法郎,日本、新加坡问题也很严峻。在国际刑法界列举的现代社会新型犯罪排行榜上,计算机犯罪已名列榜首。2003年,CSI/FBI调查所接触的524个组织中,有56%遇到电脑平安事务,其中38%遇到15起、16%以上遇到11起以上。因与互联网连接而成为频繁攻击点的组织连续3年不断增加;遭遇拒绝服务攻击(DoS)则从2000年的27%上升到2003年的42%。调查显示,521个接受调查的组织中96%有网站,其中30%供应电子商务服务,这些网站在2003年1年中有20%发觉未经许可入侵或误用
3、网站现象。更令人担忧的是,有33%的组织说他们不知道自己的网站是否受到损害。据统计,全球平均每20s就发生1次网上入侵事务,黑客一旦找到系统的薄弱环节,全部用户均会遭殃。国内网络平安现状国内网络平安现状从国内状况来看,目前我国95%与互联网相联的网络管理中心都遭遇过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。据2001年调查,我国约73%的计算机用户曾感染病毒,2003年上半年升至83%。其中,感染3次以上的用户高达59%,而且病毒的破坏性较大,被病毒破坏全部数据的占14%,破坏部分数据的占57%。近年来,国内与网络有关的各类违法行为以每年30%的速度递增。据某市信息平安
4、管理部门统计,2003年第1季度内,该市共遭遇近37万次黑客攻击、2.1万次以上病毒入侵和57次信息系统瘫痪。网络风险网络风险业内平安专家公认:所谓的“周界杀手”蠕虫和“零日攻击”将大量增加,这将是目前及今后网络平安面临的最大威逼。(“周界杀手”:那些不通过传统的电子邮件方式传播而是通过进攻系统、软件的漏洞而对网络实施攻击的病毒软件)(“零日攻击”:病毒或蠕虫利用操作系统或者软件某个未知和未修补的漏洞发起攻击)基于“零日”漏洞而制造的一种“冲击波”式的蠕虫可以毁坏计算机网络,并使管理人员对网络爱护手足无措。部署防火墙的必要性部署防火墙的必要性基于目前网络平安的现状,为了保证网络的平安,防止机密
5、信息被盗取,各企业、政府机关、高校等均纷纷实行相应的平安措施,而防火墙则一般是众多网络平安产品中首要考虑的重要一环,是网络的第一道平安门坎。提纲提纲网络平安现状防火墙概念防火墙关键技术防火墙功能一览防火墙性能指标防火墙发展及趋势什么是防火墙什么是防火墙信任网络非信任网络网络的唯一通路防火墙,Firewall,是一种高级访问限制设备,置于不同网络平安域之间的一系列部件的组合,它是不同网络平安域间通信流的唯一通道,能依据有关的平安政策限制(允许、拒绝、监视、记录)进出网络的行为,本身具有较强的抗网络攻击实力。它是供应信息平安服务,实现网络和信息平安的基础设施。防火墙的分类防火墙的分类从产品形式上分
6、为:软件防火墙:纯软件防火墙,安装在操作系统之上硬件防火墙:硬件/软件一体化防火墙(X86结构)、ASIC芯片级防火墙、网络处理器(NetworkProcessor,NP处理器)架构防火墙从部署位置上分为:网关防火墙:边界防火墙,部署于网络边界出口处个人防火墙:多为软件防火墙,安装在单个主机系统上分布式防火墙:包括边界防火墙、主机防火墙以及集中管理平台,把防火墙的平安防护系统延长到网络中各台主机,精确地说,它不是一个单一的产品,而是一个完整的体系防火墙的分类防火墙的分类从产品性能上分为:百兆防火墙千兆防火墙从发展历程上分为:包过滤防火墙:基本包过滤访问限制功能,平安性差应用代理防火墙:应用代理
7、功能,支持应用层内容级限制,但是支持协议有限状态检测防火墙:跟踪网络会话状态实现访问限制,性能好,平安性高复合型防火墙:结合状态检测、应用代理以及众多其他功能,功能强大,平安性高提纲提纲网络平安现状防火墙概念防火墙关键技术防火墙功能一览防火墙性能指标防火墙发展及趋势(一)包过滤访问限制(一)包过滤访问限制源目标许可协议HostAHostC允许TCPHostBHostC阻止UDPHost CHost AHost D数据包数据包拆数据包查询限制策略依据策略确定如何处理数据包数据包IP包头TCP/udp包头 数据包过滤的推断信息数据包包过滤工作原理包过滤工作原理应用层TCP层 I P 层网络接口层应
8、用层TCP层 I P 层网络接口层数据数据TCPIP数据TCPETHIP数据TCP数据IP数据TCPETHIP数据TCP数据TCPIP数据TCP只检查包头包过滤的检查项IP源地址IP目的地址封装协议TCP/UDP源端口TCP/UDP目的端口ICMP包类型包输入接口包输出接口(二)状态检测工作原理(二)状态检测工作原理Host A数据包数据包拆数据包查询限制策略依据策略确定如何处理数据包数据包IP包头TCP包头数据数据包限制策略状态检测可以结合前一数据包里的数据信息进行综合分析,以此来判别数据包是否允许通过。IP包头TCP包头数据IP包头TCP包头数据状态检测的推断信息建立连接状态表状态检测工作
9、原理状态检测工作原理应用层TCP层 I P 层网络接口层应用层TCP层 I P 层网络接口层数据数据TCPIP数据TCPETHIP数据TCP数据IP数据TCPETHIP数据TCP数据TCPIP 数 据 TCP只检查包头建立连接状态表状态检查检查的检查项IP源地址IP目的地址封装协议TCP/UDP源端口TCP/UDP目的端口ICMP包类型包输入接口包输出接口TCP通信的连接状态UDP/ICMP通信的通信状态(三)应用代理的工作原理(三)应用代理的工作原理Host CHost AHost D数据包数据包拆数据包查询限制策略依据策略确定如何处理数据包数据包IP报头TCP报头数据包过滤及状态检测的推断
10、信息数据包限制策略应用代理的推断信息应用代理可以对数据包的数据区进行分析,以此来判别数据包是否允许通过。应用代理工作原理应用代理工作原理应用层TCP层 I P 层网络接口层应用层TCP层 I P 层网络接口层数据数据TCPIP数据TCPETHIP数据TCP数据IP数据TCPETHIP数据TCP数据TCPIP 数 据 TCP只检查数据(四)地址转换(四)地址转换网络地址转换,NetworkAddressTranslation,简称NAT,是用于将一个地址域如专用Intranet映射到另一个地址域如Internet的标准方法。NAT对终端用户是透亮的,用于全球唯一注册地址连接私有地址域到外部域。R
11、FC1597“专用网络地址安排”规定,以下地址为保留地址,路由器不在互联网上对这些地址进行路由选择:-192.168.0.0-192.168.255.255一般在内部网络均选用以上保留地址作为私有地址进行NAT,转换成合法注册地址访问互联网。地址转换技术种类地址转换技术种类NAT技术有三种类型:静态NAT(StaticNAT)、动态地址NAT(PooledNAT)、网络地址端口转换NAPT(PortLevelNAT)静态NAT:内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址(一个公有地址对应一个私有地址)动态NAT:在外部网络中定义了一系列的合法地址,接受动态安排的方法安排给内部
12、网络私有地址(多个公有地址对应一大群私有地址)NAPT:把内部地址映射到外部网络的一个IP地址的不同端口上(一个公有地址对应一大群私有地址)地址转换工作原理地址转换工作原理WANS=10.10.10.10:2733D=211.3.3.3:80LAN-ALAN-BS=202.2.2.2:3236D=211.3.3.3:80S=202.2.2.2:3236D=211.3.3.3:80S=202.2.2.2:3236D=10.20.20.20:80网络A中A主机访问网络B中B服务器www服务的NAT过程地址转换的作用地址转换的作用解决IP地址不足的问题隐藏内部网络的网络结构,加强内部网络的平安提纲提
13、纲网络平安现状防火墙概念防火墙关键技术防火墙功能一览防火墙性能指标防火墙发展及趋势防火墙功能一览(防火墙功能一览(1)访问限制:依据数据包的源访问限制:依据数据包的源/目的目的IP地址、源地址、源/目目的端口、协议、流量、时间等参数对数据包进的端口、协议、流量、时间等参数对数据包进行访问限制行访问限制地址转换:源地址转换(地址转换:源地址转换(SNAT)、目的地址转换)、目的地址转换(DNAT)、双向地址转换()、双向地址转换(IP映射)映射)静态路由静态路由/策略路由:静态路由:基于目的地址策略路由:静态路由:基于目的地址的路由选择;策略路由:基于源地址和目的地的路由选择;策略路由:基于源地
14、址和目的地址的策略路由选择址的策略路由选择工作模式:路由模式、网桥模式(交换工作模式:路由模式、网桥模式(交换/透亮模透亮模式)、混杂模式(路由式)、混杂模式(路由+网桥模式并存)网桥模式并存)接入支持:防火墙接口类型一般有接入支持:防火墙接口类型一般有GBIC、以太、以太网接口等;接入支持静态网接口等;接入支持静态IP设置、设置、DHCP、PPPoE(比如(比如ADSL接入)等接入)等防火墙功能一览(防火墙功能一览(2)VPN:分为点到端传输模式(分为点到端传输模式(PPTP协议)和端到端隧道模式(协议)和端到端隧道模式(IPSec,IPIP,GRE隧道)隧道),支持,支持DES、3DES、
15、Blowfish、AES、Cast128、Twofish等加密算法,支持等加密算法,支持MD5、SHA-1认证算法;认证算法;VPN功能支持功能支持NAT穿越穿越IP/MAC绑定:绑定:IP地址与地址与MAC地址绑定,防止地址绑定,防止IP盗用,防止内网机器有意盗用,防止内网机器有意/无意抢占关键无意抢占关键服务器服务器IPDHCP:内置:内置DHCPServer为网络中计算机动态安排为网络中计算机动态安排IP地址;地址;DHCPRelay的支持能为防的支持能为防火墙不同端口的火墙不同端口的DHCPServer和计算机之间动态安排和计算机之间动态安排IP地址地址虚拟防火墙:在一台物理防火墙设备
16、上供应多个逻辑上完全独立的虚拟防火墙,每个虚虚拟防火墙:在一台物理防火墙设备上供应多个逻辑上完全独立的虚拟防火墙,每个虚拟防火墙为一个特定的用户群供应平安服务拟防火墙为一个特定的用户群供应平安服务应用代理:应用代理:HTTP、FTP、SMTP等协议应用代理,大多数内容级过滤通过应用代理实现等协议应用代理,大多数内容级过滤通过应用代理实现防火墙功能一览(防火墙功能一览(3)认证支持:是指防火墙支持的身份认证协议,一般状况下具有一个或多认证支持:是指防火墙支持的身份认证协议,一般状况下具有一个或多个认证方案,如内置用户认证、数字证书、个认证方案,如内置用户认证、数字证书、RADIUS、OTP、LD
17、AP、SECUREID、Kerberos、TACACS/TACACS等等。防火墙能够等等。防火墙能够为本地或远程用户供应经过认证与授权的对网络资源的访问,防火为本地或远程用户供应经过认证与授权的对网络资源的访问,防火墙管理员必需确定客户以何种方式通过认证墙管理员必需确定客户以何种方式通过认证ARP代理:防火墙代理应答特定的代理:防火墙代理应答特定的ARP恳求,在特殊网络环境中可能用恳求,在特殊网络环境中可能用到该功能到该功能内容过滤:内容级过滤,比如内容过滤:内容级过滤,比如URL过滤、过滤、WEB网页内容过滤、网页内容过滤、Java/JavaScript/ActiveX控件过滤、控件过滤、F
18、TP吩咐过滤、邮件过滤、入吩咐过滤、邮件过滤、入侵过滤(特征字匹配)等等侵过滤(特征字匹配)等等VLAN支持:支持支持:支持802.1Q、VTP、Cisco专有的专有的Trunk封装协议封装协议ISL,识,识别别VLAN数据包,实现数据包,实现VLAN间的数据包转发间的数据包转发协议协议/应用支持:应用支持:H.323、SIP、IPX、NETBEUI、AppleTalk、RIP、OSPF、BGP、DECnet、RTSP、VOIP、VOD、视频会议、组播、视频会议、组播协议等等协议等等防火墙功能一览(防火墙功能一览(4)流量限制:流量限制,流量优先级,带宽允许条件下的优先保障关键业务带宽防攻击:
19、防止各类TCP、UDP端口扫描,源路由攻击,IP碎片包攻击,DoS、DDoS攻击,蠕虫病毒以及其他网络攻击行为内置IDS:内置IDS模块,加强防火墙的防攻击实力内置防病毒模块:内置防病毒模块,在网关级进行病毒防护内置平安评估模块:内置平安评估模块,对网络中的计算机、网络设备等进行漏洞扫描,做出平安评估分析,供应平安建议,刚好弥补网络中存在的平安隐患平安产品联动:防火墙与其他平安产品比如IDS、Scanner、防病毒等的联动功能防火墙功能一览(防火墙功能一览(5)链路备份/双机热备:在牢靠性要求高的环境中,防火墙的多端口的链路备份以及双机热备功能供应了一个较好的解决方案配置文件上传/下载:配置文
20、件的备份/复原功能SNMP:支持SNMP协议,便利网络管理员对防火墙状态进行监控管理负载均衡:分为链路负载均衡和服务器负载均衡日志审计:日志存储、备份、查询、过滤、分析统计报表等入侵响应:日志记录、消息框报警、邮件报警、声音报警、发送SNMPTrap信息、手机短信报警等提纲提纲网络平安现状防火墙概念防火墙关键技术防火墙功能一览防火墙性能指标防火墙发展及趋势防火墙性能指标(防火墙性能指标(1)吞吐量:吞吐量是指防火墙在不丢包的状况下能够达到的最大包转发速率。吞吐量越大,说明防火墙数据吞吐量:吞吐量是指防火墙在不丢包的状况下能够达到的最大包转发速率。吞吐量越大,说明防火墙数据处理实力越强处理实力越
21、强延迟:延迟是指防火墙转发数据包的延迟时间,延迟越低,防火墙数据处理速度越快延迟:延迟是指防火墙转发数据包的延迟时间,延迟越低,防火墙数据处理速度越快丢包率:丢包率是指在正常稳定网络状态下,应当被转发由于缺少资源而没有被转发的数据包占全部数据丢包率:丢包率是指在正常稳定网络状态下,应当被转发由于缺少资源而没有被转发的数据包占全部数据包包的百分比。较低的丢包率,意味着防火墙在强大的负载压力下,能够稳定地工作,以适应各种网络的百分比。较低的丢包率,意味着防火墙在强大的负载压力下,能够稳定地工作,以适应各种网络的困难应用和较大数据流量对处理性能的高要求的困难应用和较大数据流量对处理性能的高要求背对背
22、(背对背(BacktoBack):是用于衡量网络设备缓冲数据包实力的一个指标,指的是固定长度的数据帧以):是用于衡量网络设备缓冲数据包实力的一个指标,指的是固定长度的数据帧以合法的最小帧间隔在传输媒介上突发一段较短的时间(以太网标准规定最小帧间隔为合法的最小帧间隔在传输媒介上突发一段较短的时间(以太网标准规定最小帧间隔为96bits),一般),一般以帧数多少来表示,背对背帧数越大,缓冲实力就越强。网络上常常有一些以帧数多少来表示,背对背帧数越大,缓冲实力就越强。网络上常常有一些应用会产生大量的突发数应用会产生大量的突发数据包(例如:据包(例如:NFS,备份,路由更新等),而且这样的数据包的丢失
23、可能会,备份,路由更新等),而且这样的数据包的丢失可能会产生更多的数据包,防火产生更多的数据包,防火墙强大的缓冲实力可以减小这种突发数据对网络造成拥塞等不良影响墙强大的缓冲实力可以减小这种突发数据对网络造成拥塞等不良影响防火墙性能指标(防火墙性能指标(2)平均无故障时间:平均无故障时间(MTBF)是指防火墙连续无故障正常运行的平均时间并发连接数:并发连接数是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问限制实力和连接状态跟踪实力,这个参数的大小干脆影响到防火墙所能支持的最大信息点数最大连接速率:是指在指定时间(比如1秒)内防火墙能成功建立的最大连接数目乍看并发连接
24、数越大越好,其实不然:并发连接数的增大意味着对系统内存资源的消耗并发连接数的增大应当充分考虑CPU的处理实力物理链路的实际承载实力将严峻影响防火墙发挥出其对海量并发连接的处理实力提纲提纲网络平安现状防火墙概念防火墙关键技术防火墙功能一览防火墙性能指标防火墙发展及趋势(一)防火墙发展历程(一)防火墙发展历程目前防火墙技术主要经验了四个发展历程:简洁包过滤技术阶段应用代理网关技术阶段状态检测包过滤技术阶段复合型防火墙第一代简洁包过滤防火墙第一代简洁包过滤防火墙优点:包过滤工作在网络层和传输层,只对数据包的头部信息进行限制,过滤效率较高,性能较好缺点:早期的包过滤技术无法辨别IP具体来源,即无法区分
25、该IP处于内部网络还是外部网络,这样便不能防止IP欺瞒只对数据包的头部信息进行过滤,不支持应用层协议,访问限制粒度粗糙,敏捷性低不能处理新的平安威逼,它不能跟踪TCP状态,所以对TCP层的限制有漏洞。比如当它配置了仅允许从内到外的TCP访问时,一些以TCP应答包的形式从外部对内网进行的攻击仍可以穿透防火墙其次代应用代理防火墙其次代应用代理防火墙优点:跟应用层紧密结合,可以检查应用层、传输层和网络层的协议特征,对数据包的检测实力比较强,具备应用层内容级的高级访问限制实力,平安性较高缺点:并发连接数低,吞吐量小,性能特别差。对于内网的每个访问恳求,应用代理都须要开一个单独的代理进程;要爱护内网的W
26、eb服务器、数据库服务器、文件服务器、邮件服务器,及业务程序等,就须要建立一个个的服务代理,以处理客户端的访问恳求。这样,应用代理的处理延迟会很大,内网用户的正常访问难以刚好得到响应支持协议有限。针对每一种应用都须要相应的协议分析,应用代理网关防火墙只能支持一些常见常用的协议,而针对众多的其他协议、各行业的业务应用难以支持,不用不够广泛第三代状态检测包过滤防火墙第三代状态检测包过滤防火墙优点:状态检测防火墙在内核部分建立状态连接表,并利用状态表跟踪每一个数据包的会话状态,供应了完整的对传输层的限制实力,平安性较高状态监测技术接受了一系列优化技术,使防火墙性能大幅度提升缺点:与具体应用结合程度较
27、低,无法做到应用层内容级限制对一些网络攻击、病毒难以防范,比如红色代码、nimda、冲击波、振荡波等。第四代复合型防火墙第四代复合型防火墙优点:融合了状态检测、应用代理技术,并结合了其他众多协助功能比如:用户认证、VPN、IPMAC绑定、策略路由等等,平安性高,功能强大,适应范围广泛缺点:运用应用代理功能时,性能不够高;运用包过滤功能时,由于不检查数据包内容,难以防范一些网络攻击、病毒入侵(二)防火墙发展趋势(二)防火墙发展趋势随着新的网络攻击的出现,对防火墙的挑战也越来越严峻,必定要求防火墙新技术的出现来满足不断增长的新需求。这主要可以从以下四个方面来体现:包过滤技术硬件体系结构系统管理体制
28、产品联动体系(1)过滤技术发展趋势)过滤技术发展趋势接受多级过滤技术:在网络层,分组过滤掉全部的源路由攻击数据包和假冒IP源地址的数据包;在传输层,遵循过滤规则,过滤掉全部禁止出或/和入的协议和非法数据包、蠕虫病毒等;在应用层,对数据包进行协议分析并还原,限制和监测Internet供应的常见服务,比如HTTP、FTP、SMTP等,供应细粒度内容级过滤。深度包检测技术深度包检测技术下一代过滤技术:深度包检测技术(DeepPacketInspection)深度包检测技术,不仅检查IP包头,并且能对IP包进行重组、拆包,检查数据包的具体内容,深化检查信息包流,查出恶意行为,可以依据特征检测和内容过滤
29、,来找寻已知的攻击,阻挡异样的访问,很好地供应了入侵检测和攻击防范的功能深度包检测技术成功地解决了普遍存在的拒绝服务攻击(DDoS)的问题、病毒传播问题和高级应用入侵问题,能识别并有效地阻断恶意数据流量,有效地切断恶意病毒或木马的流量攻击;能防范黑客攻击,能识别黑客的恶意扫描,并有效地阻断或欺瞒恶意扫描者。深度包检测技术代表着防火墙的主流发展方向(2)硬件体系结构发展趋势)硬件体系结构发展趋势随着网络应用的增加、多媒体应用的普及,对网络带宽提出了更高的要求,这意味着防火墙要能够以特别高的速率处理数据,延迟足够小,传统的X86结构防火墙已经难以满足如此高性能的要求。防火墙的硬件体系结构目前已经处
30、于一个更新换代的门槛上,将来的发展趋势基本上是网络处理器(NetworkProcessor,简称NP处理器)与ASIC芯片两种解决方案,各有优劣。硬件体系结构另外一个须要考虑的问题,为了避开运输等过程中造成内存等接插件的松动、脱落,尽量少运用接插件,实行贴片等方式避开此类问题X86结构方案特点结构方案特点优点X86架构的高敏捷性和扩展性在百兆防火墙上获得了巨大成功有较丰富的软件资源可以利用丰富的有阅历的开发人员以及OpenSource代码功能扩展和升级便利缺点通用硬件架构和通用软件体系结构极大地限制了性能的提高通用操作系统易受到攻击ASIC方案特点方案特点ASIC优点ASIC可以很简洁达到较高
31、的性能大批量生产时成本很低ASIC缺点固化的逻辑不能敏捷地适应应用的变更,要增加新的功能必需重新设计ASIC,升级困难深层次包分析(L4+)增加ASIC的困难度ASIC的开发周期长,典型设计周期18个月ASIC设计费用昂贵且风险较大网络处理器方案特点网络处理器方案特点通用CPU的可编程敏捷性接近ASIC的处理性能是开发千兆防火墙最优方案系统实现比ASIC更快易于增加功能从而削减将来对硬件升级的需求对市场需求快速反应从而降低了产品初期功能选择的风险ASIC、通用、通用CPU、和、和NP的综合对比的综合对比(3)系统管理体制发展趋势)系统管理体制发展趋势网络风险的来源是多方面的,有来自外部的,更多
32、的是来自内部的,单一的网络边界防火墙难以防范来自内部的攻击。分布式防火墙技术不是一个单一的产品,而是一个完整的体系,一般包括边界防火墙、主机防火墙、集中管理中心三个部分,把防火墙的平安防护系统延长到网络中各台主机,大大加强内部网络的平安性分布式防火墙技术分布式防火墙技术在新的平安体系结构下,分布式防火墙代表新一代防火墙技术的潮流,它可以在网络的任何交界和节点处设置屏障,从而形成了一个多层次、多协议,内外皆防的全方位平安体系。主要优势如下:增加系统平安性:增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击防范,可以实施全方位的平安策略,对网络中的各节点可以起到更平安的防护作用提高了系统性能:消退了结构性瓶颈问题,提高了系统性能良好的系统扩展性:分布式防火墙随系统扩充供应了平安防护无限扩充的实力。(4)产品联动体系)产品联动体系一个全方位立体结构的网络平安防护体系,包括了各种类型的网络平安产品:防火墙、入侵检测系统、防病毒、VPN、漏洞扫描系统、身份认证系统、邮件平安系统等等,如何能使这些平安产品更好的协同工作,将对网络平安性起着至关重要的影响。很多平安厂商纷纷提出自己的产品联动协议,比如防火墙与IDS、Scanner等的联动。目前没有一个统一的产品联动协议。谢谢 谢谢 大大 家家zhusbbit-way