Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2
RSS
cisco asa 55xx vs OpenBSD или другие *nix, сомнения по выбору межсетевого экрана
 
ну вот fwsm - это аппаратный фаерволл? а то, что там стоит обычный redhat linux делает его программным?
 
Цитата
VictorVG пишет:
По большому счёту это специализированная ВМ с установленным на ней программным обеспечением брандмауэра. Отличие её от привычных решений только в одном - это отдельное устройство, которое при необходимости можно заменить.
и чем это отличается от 1U-сервера с соотв. дистрибутивом на борту?
то же самое отдельное устройство. заменить? - не вопрос!

Цитата
VictorVG пишет:
А по сути своей это обычный микроконтроллер с достаточно жёстко заданными функциями
Ни один микроконтроллер не сравнится по производительности с современными x86/x86_64 cpu.

Если посмотреть на вышеупомянутую АСУ, то http://en.wikipedia.org/wiki/Cisco_ASA  :

Код
Beginning with version PIX OS version 8.x, the codes diverge, with the ASA using a Linux kernel and PIX continuing to use the traditional Finesse/PIX OS combination.

пруфлинк
 
Цитата
^rage^ пишет:
и чем это отличается от 1U-сервера с соотв. дистрибутивом на борту?
то же самое отдельное устройство. заменить? - не вопрос!
заранее извиняюсь если не прав..., недавно объяснял юзверям разницу между ноутбуком и смартфоном. Мне кажеться, что такая аналогия тут вполне уместна.
 
Цитата
capricorn пишет:
заранее извиняюсь если не прав..., недавно объяснял юзверям разницу между ноутбуком и смартфоном. Мне кажеться, что такая аналогия тут вполне уместна.
не совсем. границы между этими классами устройств вполне четкие.
в моём понимании "аппаратный фаерволл" - это 1 или несколько NPU + General Purpose CPU.
В таких устройствах большая часть обработки трафика(контрольные суммы, state table lookup, pattern matching, etc) реализованы в железе.

Например, у циски есть модуль к 7600 - CSG -  оно умеет матчить по регекспам(которые реализованы там в железе).

Вообще, если в гугле ввести "regular expressions in hardware", можно найти очень и очень много, в том числе про реализацию регекспов для вполне доступных FPGA.
Но регекспы - это FSM, который легко сделать в железе. Более сложные вещи в железе либо слишком дорого делать, либо слишком долго, либо вообще нереализуемо.

В свете вышесказанного ситуации, когда железки, являющиеся по сути обычными x86-серверами, называют "аппаратными фаерволами" или "аппаратными маршрутизаторами" у меня вызывают недоумение.
 
Однозначно поддерживаю ^rage^-а.
Раз в год на СекЛабе поднимается вопрос аппаратной железяки. И все одно и тоже.
Аппаратным может называться только то устройство, в котором применяются ASIC. Все остальное: это универсальные MIPS или Intel платформы с, как правило, установленным linux и запиленными конфигами. Грамотный админ сам может штамповать такие решения на основе открытой платформы (OpenWRT к примеру).
Страницы: Пред. 1 2
Читают тему (гостей: 2)