西西河

主题:【原创】IT八股:闲聊信息安全 (之一.基本概念) -- 昔杨今雨

共:💬106 🌺268
全看分页树展 · 主题 跟帖
家园 冰茶说的对, 防火墙是基于IP数据包作判断, 但是

正是因为基于IP数据包做判断(更准确地说是基于IP数据包的包头), 所以防火墙的性能可以做得很高, 几个G乃至十几个G的都有, 因为一个IP数据包头也就百把的字节数, 格式固定, 即使需要做状态追踪(Connection Track), 其需要临时存储的数据量也很有限, 因此, 防火墙比较容易通过ASIC芯片等硬件来实现, 其性能容易提高.

但是病毒扫描是需要上下文的, 一个IP包里面最多几K的字节远远不够, 因此网络防病毒需要在应用层做协议分析, 重新组包, 获得完整数据后再进行扫描. 需要的临时存储空间也大, 想通过硬件实现, 有很多困难.

全看分页树展 · 主题 跟帖


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河