防火墙选型：硬件防火墙的六个指标分析 - CSDN博客
防火墙选型：硬件防火墙的六个指标分析
安全永远是CIO的一个心病，而选择一款合适的防火墙则无疑是治疗这个心病的一大良药。笔者在防火墙选型这方面也花过不少的功夫，今天就跟大家讨论一下，防火墙选型该怎么做。笔者总结了六个指标，供大家参考。
　　一、网络吞吐量。
　　当CIO在企业中部署了企业级别的防火墙之后，企业进出互联网的所有通信流量都要通过防火墙，故对于防火墙的吞吐量就有比较高的要求。以前有些企业是通过ADSL拨号上网的，这时由于带宽的限制，可能防火墙还可以应付。可是现在大部分企业可能已经都采用了光纤接入，带宽本来就很大。此时就给防火墙带来了一定的压力。
　　因为防火墙是通过对进入与出去的数据进行过滤来识别是否符合安全策略的，所以在流量比较高时，要求防火墙能以最快的速度及时对所有数据包进行检测。否则就可能造成比较长的延时，甚至发生死机。所以网络吞吐量指标非常重要，它体现了防火墙的可用性能，也体现了企业用户使用防火墙产品的延时代价。如果防火墙对网络造成较大的延时，给用户造成较大的损失。这一点上笔者是深有感触。笔者企业很早以前就部署了企业级别的防火墙。后来公司网络进行升级改造，实现了光纤接入。可是升级改造后，笔者发现可用带宽不到预计带宽的一半。一开始笔者怀疑是光纤问题。叫对方技术人员过来，他们测试光纤的传输没有问题，带宽达到预计的标准。那笔者就感到困惑了?是什么原因吞噬了企业宝贵的带宽呢?经过一番查找，最终发现原来是哪个防火墙在作怪。原来这个防火墙采购比较早，其网络吞吐量只有10M。难怪采用光纤接入后达不到预计的要求。为此笔者不得不重新选择了一款高性能的防火墙，其网络吞吐量达到100M。就的防火墙笔者就用来进行内部的隔离。故如果企业采用了防火墙之后，对可用带宽造成了很大的影响，那无疑是一种大大的浪费。
　　所以笔者认为，CIO在选购防火墙的时候第一个要看的指标就是防火墙的吞吐量。当然，这个吞吐量也不是越大越好。因为吞吐量越大的话，防火墙的价格也就越高。CIO要根据企业的实际情况，如现在接入互联网的带宽等因素，来选择的合适的带宽。当然如果企业资金充裕，CIO有钱没处花的话，那么吞吐量当然是越大越好。吞吐量一个基本的原则就是至少要跟企业现有的互联网接入带宽相当。
　　二、协议的优先级。
　　笔者企业现在已经实现了网络会议视频。各个分公司与总公司之间可以通过网络开视频会议，而不用再像以前那样赶来赶去开会。不过这个视频会议需要占用不少的带宽。以前每次启用这个视频会议，其他用户都会感受到网络速度明显的变慢。而且有时候网络视频也会有一卡一卡的现象。有时候笔者得把其他用户的外网断掉，这一卡一卡的现象就得到了改善。但是每次这么处理很是麻烦。为了改善这个情况，笔者在选择防火墙的时候特别关注防火墙是否有协议优先级的管理。也就是说，当视频会议系统启动时，企业网络带宽的使用率可能会比较高。这就好像现在的下班高峰一样，路上车堵了，那么车速难免就会慢下来。但是如果这是一辆救护车，那么其就有优先通过的权力。其他车辆都必须为其让道。笔者也希望能够实现类似的控制。还好，现在这款防火墙没有让笔者失望。在这款防火墙中，有协议优先级的功能，可以把语音流等关键业务的数据流量设置为比较高的优先级别。当企业的网络中出现拥塞时，将优先保证这些优先级别高的流量的通过。经过这个设置之后，以后开起视频会议的时候，就不用在手工的去关闭其他用户的网络。防火墙会自动根据企业网络状况来调整通信流量的优先级别，保证视频等通信流量具有优先通过的权力。
　　故笔者建议的第二个指标就是这个协议的优先性。现在视频应用在企业中使用是越来越广泛。如视频会议系统、语音电话等等在企业中都很普及。而这些应用都会占用企业比较大的带宽。如果企业带宽跟不上的话，这些应用的质量将会受到很大的影响，如通话的质量可能会时断时续。就好像手机信号差一样。虽然可以通过提高互联网的接入速度来改善这种情况，但是这不是首选方案。因为增加带宽需要企业花费比较大的投资。故笔者认为最理想的解决方案是对企业的通信流量进行管理。通过防火墙把一些关键应用的流量设置为比较高的优先级。在网络传输中，要首先保障这些通信流量能够优先通过。这就可以明显改善语音通话等视频应用的效果。
　　另外这还可以用来约束员工的网络行为。如有些员工喜欢利用emule等工具下载电影。但是这些工具的话会占用很大的带宽，因为他们在从网络上下载的同时，也提供别人进行下载。故耗用的带宽比较多。如果一味的限制他们，也不怎么人情化。如果把这些通信流量设置为比较低的级别，当网络比较繁忙的时候，这些通信流量占用的带宽将不断降低，只到为零。如此的话，这些通信流量对企业其他正常网络应用的影响将会降至到最低。
　　故笔者建议CIO在防火墙选型时第二个需要考虑的就是协议的优先级管理。特别是企业有语音电话、视频会议系统这些高级网络应用的话，则这个协议的优先级管理功能就更加的重要。
　　三、具有一定的扩展性。
　　企业的网络不可能永远的一成不变。随着企业规模的扩大，公司内部的网络会不断的升级，以符合企业日益发展的需要。如企业现在可能只是一个公司，但是随着规模的壮大可能会在各地开立分公司或者办事处。此时就遇到一个问题，如何把各地的分公司的网络与总公司的网络连接起来。为此通过VPN来连接无疑是一个不错的方案。但是此时CIO就遇到了一个问题，现有的防火墙能否支持VPN技术呢?企业很有可能以前在选购防火墙的时候没有注意到这个问题。那么后来网络升级后，CIO就会变得跟被动了。
　　所以CIO在选型购防火墙时第三个要考虑的指标就是防火墙的扩展性。现在企业可能不需要某个功能，如VPN功能。在购买防火墙时购买不需要用到的VPN模块也是一种浪费。但是防火墙要能够保证在以后企业用的着的时候，能够顺利进行扩展，而不需要重新购买。在这个扩展性问题上，笔者认为CIO可以从几个方面来考虑。
　　一是为了后续扩展的需要，最好能够购买那些模块化设计的防火墙。如此的话，后续增添其他功能的话，只需要购买模块即可。而不需要更换整个硬件防火墙。也就是说CIO选择的硬件防火墙系统最好是一个可随意伸缩的模块化解决方案，包括从最基本的包过滤器到带加密功能的VPN型包过滤器，最终到一个独立的应用网关的等等。只有如此，才能让CIO轻松面对企业信息化应用的升级。
　　二是考虑网络接口的问题。通常情况下防火墙最基本的配置有两个网络接口：内部的和外部的网络接口。这些接口对应着访问网络的信任程度。其中外部网络接口连接的是不可信赖的网络，而内部网络接口连接的是得到信任的网络。在内部网部署时，连接到外部的接口可能需要和公司的主要部分连接，这时可能比外部网络的信任度高，但又稍微低于内部网络的信任度。但是随着公司因特网商业需求的复杂化，只有两个接口的防火墙明显具有局限性，可能无法满足企业业务方面的需求。如企业可能出于安全的需要，以后很有可能要用到第三个接口DMZ接口。为此为了以后信息化应用升级的考虑，CIO在防火墙选购时，还需要关注是否有足够丰富的接口;或者考虑以后是否可以通过模块的形式来增加可用的接口。
原文出自【比特网】，转载请保留原文链接：/337/.shtml
本文已收录于以下专栏：
相关文章推荐
网络设备最经常用到的，也是最重要的一个安全设备就是防火墙了。作为一款IT设备，无非两种选择方式。一种是购买品牌防火墙成品，另一种是自己DIY防火墙。两种方式各有自己的优劣，购买品牌防火墙最大的问题莫过...
防火墙技术指标---并发连接数/吞吐量 简介 防火墙的关键指标 - 并发连接数 　  并发连接数是指防火墙或代理服务器对其业务信息流的处理能力，是防火墙能够同时处理的点对点连接的最大数目，它反映出防火...
吞吐量(Throughput)
　　吞吐量是衡量一款防火墙或者路由交换设备的最重要的指标，它是指网络设备在每一秒内处理数据包的最大能力。吞吐量意味这台设备在每一秒以内所能够处理的最大流量或者说每...
摘要: x86架构适用于freebsd系统网络设备最经常用到的，也是最重要的一个安全设备就是防火墙了。作为一款IT设备，无非两种选择方式。一种是购买品牌防火墙成品，另一种是自己DIY防火墙。两种方式各...
硬件防火墙的开发过程
 ( 10:55:51)
标签： 
分类： 安全文档
 这里说的虽然是硬件防...
目前，硬件防火墙能够工作在三种模式下：路由模式、透明模式、混合模式。如果防火墙以第三层对外连接（接口具有ip地址），则认为防火墙工作在路由模式下；若防火墙通过第二层对外连接（接口无ip地址），则防火墙...
硬件防火墙是通过硬件和软件的组合来达到隔离内外部网络的目的；软件防火墙是通过纯软件的的方式实现隔离内外部网络的目的。 
硬件防火墙的抗攻击能力比软件的高很多，首先因为是通过硬件实现的功能，所以效率就...
他的最新文章
讲师：王禹华
讲师：宋宝华
您举报文章：
举报原因：
原文地址：
原因补充：
(最多只允许输入30个字)企业防火墙该如何选择_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
企业防火墙该如何选择
阅读已结束，下载文档到电脑
想免费下载更多文档？
定制HR最喜欢的简历
下载文档到电脑，方便使用
还剩1页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢22被浏览3837分享邀请回答1添加评论分享收藏感谢收起0添加评论分享收藏感谢收起七种适合企业级应用的防火墙产品
七种适合企业级应用的防火墙产品
XENT 科技的 Raptor 　　AXENT公司的Raptor 防火墙包括了我们测试的代理防火墙中功能最强大的一系列代理程序。在很多情况下，它检查通过防火墙的数据的能力非常接近于Check Point的FireWall－1。尽管界面不如FireWall－1的漂亮，Raptor的GUI也是易于理解且易于操作的。Raptor的实时日志则仅次于FireWall－1。　　显示Raptor强大实力的地方是它众多代理的深度和广度。它是唯一为运行在Microsoft上的NT提供保护的产品。它可以控制读、写、更新命令，也可以把SMB（Server Message Block，服务器消息块）行为控制在有效操作的限度内。如果你使用Oracle，那你的运气不错：Raptor是唯一带有SQL＊Net 代理的产品，可以控制对数据库表格的访问（读和更新）。从另一方面看，如果你运行或者，那么这一功能也很有用。　　Raptor的SMTP 代理与 FireWall－1和 PIX一样限制允许通过防火墙的SMTP命令。它还能剥去邮件报头中的内部网信息，FireWall－1也将提供这一功能。但是Raptor是唯一能检测到邮件头部缓冲区并在它探测到危害安全的企图时允许你执行跟踪命令的防火墙产品。Raptor通过限制传送到内部的URL长度来防止缓冲区溢出攻击。它只认可有效的HTTP命令并丢弃包含可以用来进行转义代码攻击（escape code attack）字符的数据包。给人以深刻印象的代理还包括（Network News Transfer Protocol，转发协议）代理和NTP（Network Time Protocol，网络时间协议）代理。　　Raptor的HTTP 代理非常安全，以至于我们很难在这一应用程序上运行我们的（参见“我们如何测试防火墙性能”）。为了避免这个问题，我们在一个定制运行在端口的通用代理上跑HTTP流量。尽管我们感觉它的并发性能已经足够好了，但它还是不如FireWall－1快，仅比CyberGuard和NetGuard的Guardian强一些。需要指出的是，当我们激活NAT的时候没有感到任何性能降低的迹象。FireWall－1则相反，在启动NAT的时候性能显著下降，这是因为代理类型的防火墙本来就要重写报头。还有一点，Raptor运行在Sun公司的平台上（FireWall－1也是一样），因此如果需要的话你可以升级到更快的机器。　　作为一个代理类型的防火墙，Raptor要求所有的通信流量直接通过它，这就要冒遭受攻击的风险。为了保护它自己，它“加固”了――AXENT在安装的时候就主动努力保护操作系统，关 IP转发和路由以及其他不必要的、可能成为的进程。安装之后，Raptor继续监视操作系统中可能危及安全的新进程。与之对照，Secure Computing的SecureZone和CyberGuard的Firewall则采用了带有内建安全功能的专有版本的Unix。　　Raptor把主机、网络和服务定义为“元素”，这是一个和Check Point采用的“对象”类似的概念。规则编辑器(它和这款防火墙产品中的所有工具类似，都是从HawkGUT垂直任务条上启动的)使用这些元素创建安全策略。尽管这个界面也易于使用，但是我们还是更喜欢FireWall－1的界面，因为FireWall－1包含方便阅读的颜色和图形。在代理类型防火墙上定义规则要比在全状态检查类型防火墙上执行同样的任务更困难，你必须为你想运行的应用程序激活相应的代理服务，否则相应流量将不被允许通过这个防火墙。Raptor的日志信息相当详细，给出了源和目的IP地址和端口，以及带有时间戳的试图连接的状态。　　Raptor的特色是ICSA认证的兼容（
network，）能力。不幸的是，Raptor没有使用硬件支持卡，所以你在启动这个大量加密连接的功能时要小心从事，因为它非常消耗CPU资源。CyberGuard 公司的CyberGuard 防火墙 4.0版　　CyberGuard防火墙和AXENT以及Secure Computing的产品都是基于代理技术的。尽管它也有一长串代理应用程序,但是它的代理功能远没有Raptor那样丰富。CyberGuard包括允许对直接通过的信息包进行过滤的选项。我们发现它的用户界面清晰而且简明。　　CyberGuard加固了它的操作系统，从而使得它比我们测试的其他代理厂商的产品都要安全。它的多虚拟安全环境（Multiple
Secure Environments，MVSE)系统谨慎地隔离所有进程、文件和目录，只允许绝对必要的通讯通过CyberGuard。和我们测试的其他防火墙一样，它也通过了ICSA认证。而且它还是唯一通过美国国防部国家计算机安全中心（Department of Defenses National Computer
Center）认证的产品。　　它的用户界面包括一个运行在防火墙监视器上的全屏幕控制台，顶部的菜单条上列着所有的基本应用程序。使用这个菜单能轻松地访问通用系统管理作业，比如IP地址和路由配置等，这使得完成这些作业轻松多了，这一点比我们测试的大多数防火墙要强。实际在信息包过滤窗口中建立，窗口的上半部分是规则列表，下半部分是编辑模板。编辑模板可以使你很轻松地指定你想允许或者禁止的协议。这是一个便于使用的功能，可以快速建立日志并且可以让自己决定现在不想看哪些东西。和FireWall－1类似，CyberGuard使用颜色和图形使得策略更容易读。你可以在每个规则的上面或者下面添加注释，但是我们发现如果相关规则很多屏幕就会显得凌乱不堪。　　尽管有可能从这个用户界面实施远程管理，然而我们只成功地用CyberGuard另外一个界面完全实施了远程管理。我们测试的其他防火墙都允许我们运行与实际防火墙引擎完全无关的。　　CyberGuard声称支持加密和管理的IPSec标准，但是目前这个应用程序还ICSA认证。Secure Computing 公司的 SecureZone　　我们在以前的防火墙评测中曾经测试过Secure Computing的Sidewinder。Sidewinder在性能和易用性方面落后于其他产品。SecureZone和那时比起来在这两方面有了巨大的进步。它在中表现良好。重新设计的用户界面用指向――点击操作实现安全策略，而且这种操作可以在任何运行（Java Virtual Machine，）的操作系统上执行。　　SecureZone是一个基于代理技术的防火墙，它提供了很多代理。FTP 代理控制对文件和目录进行创建、删除和改名的操作，以及put和get操作。HTTP 代理过滤Java和ActiveX,此外还有一个有助于缓冲页面的内建URL过滤器。SecureZone不能扫描病毒，它计划在将来加入此项功能。和CyberGuard一样，SecureZone也有集成了防火墙的专有版本Unix。配置这个防火墙系统很简单，可以用控制台上的下拉菜单完成或者在远程界面完成。与之对比，Raptor和FireWall需要安装和配置Solaris操作系统，这不是件容易的事，当然并不需要经常这样做。SecureZone使用“类型强制”来划分所有进程和文件，并且只允许绝对必须的访问通过，这就降低了在入侵事件发生时某人可以取防火墙而代之的可能性。　　SecureZone基于Java的用户界面既快速又稳定，这种在历史上还不曾和联系起来过。这个用户界面和其他产品的界面截然不同，SecureZone使用决策树风格的图表来建立安全策略。我们用它为各个“区域”建立独立的安全策略，分别描述不同的接口、网络和防火墙上的VPN。规则用对话框描述。另一个对话框包含所有允许的服务，并用箭头连接到代表其他允许访问区域的盒子上。箭头的指向表示区域之间的“从”“到”关系，还有一些其他图标分布在屏幕上，用来指示允许访问或者，或者是否应该执行NAT。需要花些时间来熟悉这种实现方法，但是当我们弄明白之后，我们就发现它非常好用。如果你有很多的VPN，并且需要在不同级别上相互访问，那么SecureZone是一个理想的选择。Cisco Systems 的 Cisco PIX 防火墙 520　　PIX在所有产品中性能最好，它的吞吐速率高达150Mbps，仅比我们的由两台和一个连接电缆组成的基线的速度稍微低一些。更非同凡响的是即使激活NAT也不会降低它的性能。不幸的是，它的管理功能相当不好，是我们测试的所有产品中最差劲的一个。PIX可以阻止可能造成危害的SMTP命令，这给我们留下了深刻印象，但是在FTP方面它不能像大多数产品那样控制上载和下载操作。　　PIX的大多数管理最好通过命令行进行。如果你熟悉的命令行界面，那么恭喜你，因为你不必为没有漂亮的管理GUI而烦恼了，PIX的很多命令和操作与上的非常相似。我们发现使用命令行设置NAT非常简单，甚至比使用大多数GUI更方便。但是我们还发现，除了简单的安全策略，PIX在设置基于服务的访问、主机和网络的时候非常不好用。我们在修改安全策略时遇到了最大的麻烦，这需要对规则进行重新排序，在插入一个新的列表之前必须删除原来的规则列表。这是一个从Cisco继承过来的并不好用的功能。PIX带了一个管理应用程序，但是需要一台NT服务器专门运行这个软件。我们可以通过Web来访问这个程序。如果使用Web界面管理PIX，我们只能在配置时使用它做一些非常简单的修改。Cisco对我们说它们将在今年年底开发出一个新的软件以改善PIX的管理功能。　　PIX的日志和监视功能也比其他产品逊色不少，它没有实时日志功能，而且所有的日志信息都要送到另外一台运行的机器上去。不管怎样，根据系统日志发出警报还是可以做到的。NetScreen 科技的 NetScreen－100　　和Cisco的PIX类似，NetScreen－100也运行专有操作系统。与运行在Intel平台上的PIX不同，NetScreen使用专有ASIC构成高性能防火墙，价格便宜而且易于安装。我们发现它通过串行连接给接口分配IP地址的安装办法非常简单。完成这一步之后，我们就可以通过Netscape或者的浏览器来进行进一步的工作。在不运行NAT时只有PIX和FireWall－1比NetScreen－100性能高，如果运行NAT，NetScreen的性能不会降低，因而比FireWall－1的性能要好。　　NetScreen是唯一不路由消息包就让它们通过的产品。使用这一功能，防火墙内的任何主机或者路由器可以继续使用Internet路由器的地址，或者使用任何其它能访问外部网络的路由器。这样就不必在防火墙和外部路由器之间增加另外一个子网，也不需要把外部路由器的地址到防火墙的内部接口上来，这样内部主机就不必更改它们的网关地址了。我们在正常防火墙和透明操作模式这两种情况下都成功地进行了路由。　　NetScreen防火墙的网络访问控制是所有产品中最脆弱的。事实上，除了URL过滤和FTP，它没有任何其他比简单的包过滤更强大的功能。用于 Windws NT 的NetGuardian 3.0　　Guardian是唯一安装在NT平台上的产品，用户界面简捷明了，但是它的访问控制能力仅仅比NetScreen强一点。　　Guardian在我们测试的产品中是性能最差的一个。当我们把测试结果提交给NetGuard的时候，他们表示了真诚的惊讶。于是我们重新安装软件，重新配置，重新测试，结果没有看到性能有什么改善。NetGuard提议给我们另外一器作测试，但是我们已经没有时间做了。我们同意分享NetGuard防火墙在KeyLab的测试结果，KeyLab用的是NetGuard的Firebench产品，吞吐量达到60Mbps，这一结果比我们测出的40Mbps高50％。KeyLab的性能指标是在一台200MHz机器上得出的，我们则是在一台233MHz的机器上测到的。启动NAT之后，NetGuard的产品的性能显著下降。根据我们的测试，Guardian可以在启动NAT的情况下毫无问题地支持T1或者10Mbps以太网，但是如果您想在将来也使用它则要小心从事。　　Guardian的界面和FireWall－1的很类似。我们把网络和主机定义成对象，可以把这些对象添加到列在表格里的过滤规则中去。表格使用简单的图标指示可以执行那些符合规则流量的动作。尽管Guardian并不是FireWall－1，我们同样觉得它也很容易定义规则。用户界面可以运行在任何NT或者95/98机器上，而且可以轻松地远程管理运行防火墙引擎的NT机器。　　Guardian的访问控制功能相当不完善，尽管比NetScreen－100好一些，它也只是停留在基于IP地址和端口号的简单访问控制的水平上。它还是唯一不具有IPSec兼容VPN能力的产品。NetGurad的独特功能是具有监视非法telnet登录企图的能力。　　　　(CMP
Inc.,1998。首次发表于CMP出版物《Network Computing》，经允许翻译及翻印。　　CMP Media Inc.,1998.Initially published in Network Computing,a CMP publication.Translated and reprinted with .)
本文导航1.七种适合企业级应用的防火墙产品
（责任编辑：）
已有0位网友分享了这篇文章
本文关键字：
阅读了“”的读者还读了
频道最新更新|
Copyright (C) 1999-, All Rights Reserved 版权所有 天极网络
渝ICP证B2-号 商务联系、网站内容、合作建议：010-
Powered by 天极内容管理平台CMS4i
下次自动登陆&|
还没有注册吗？
如果还没有本站的通行帐号，先注册一个属于自己的帐号吧教大家如何穿透公司防火墙玩游戏
1 简单的代理穿透。一般会将禁止网站设置为黑名单，阻止访问，通常解决办法就是寻找可用代理配合sockscap32或者proxycap使用即可2 封闭端口和黑名单的方法穿透 ， 端口封闭必然会开放某一部分端口，我们只需要寻找代理或者将端口做映射即可，通常情况下会在交换机做端口限制，而非代理服务器，因此我们只需利用httport或者portmap等做一下端口映射即可突破限制3 安装网康之类的设备的突破，网康会生成日志，即使你能穿透过去，那么也很难逃过被日志困扰的局面，那么我们用什么方法呢，很简单的vpn拨号方式，因为网康之类的设备大部分基于限制IP和敏感字符的数据包抓包过滤，通常情况下会将某些热门IP列为禁止访问对象，但是这对于VPN来说丝毫不受影响，因为VPN服务器通常不在限制之列，而且VPN协议是采用加密模式，网康无法进行敏感字符过滤，所以利用此方法完全可以突破！但是VPn免费的不多，即使免费的速度也很不理想，有一些付费的每季度30元，这点钱其实也无所谓的.4 代理出口+DFI网康过滤，目前公司内基本都是使用该类模式限制内部用户，其中最难的就是代理服务器禁止某些一些端口出入，通常这也是最致命的，我研究过很多方法，包括2级代理 ，flat都不行，因为中间代理过的数据无法加密，很容易被网康抓到 ，所以必须舍弃这类普通代理模式的方法，以前曾想过在自己家电脑商安装解密软件，然后将数据IP指向家中电脑，让家中电脑充当第3级代理！但是家里电脑1不能常开，2是ADSL拨号网络每天都要更换IP，相当麻烦！虽然能将数据加密，但是这类代理在网络上很难找到且不稳定，包括在网上也很难找到对付的方法！昨天突然想起隧道加密VPN配合代理的方法突破，原理很简单，让代理软件告诉隧道加密软件网络出口，指引它走出去内部网，然后代理软件失效！隧道加密软件此时将IP地址指向外部网网络代理，建立数据链路连接后，只要不中断，那么数据流会一直持续下去！因为网游均是p2p技术的，不必担心数据中断的！此时网康只能看到数据流，但是不知道传输的是什么数据！调试完毕后，启动测试游戏（魔兽世界）连接成功，但是这种方式很繁琐，因为中间走隧道加密，占用公司固定带宽，在网络不理想的条件下会造成其他用户延迟的现象。如今很多网康换用深度检测技术(DPI)，既不再抓包和Ip地址过滤而是对比数据流类型，数据虽然加密了，但是数据包却依然存在，普通网游均是基于p2p技术的，对比后均会被驳回！这也是最大的难度的，下一步的任务就是突破DPI......
分享这篇日志的人也喜欢
努力的小胖?
流量播一会儿
史上最准备的主播
赶紧用完流量
早睡-终结者?
热门日志推荐
人人最热标签
北京千橡网景科技发展有限公司：
文网文[号··京公网安备号·甲测资字
文化部监督电子邮箱：wlwh@··
文明办网文明上网举报电话： 举报邮箱：&&&&&&&&&&&&
请输入手机号，完成注册
请输入验证码
密码必须由6-20个字符组成
下载人人客户端
品评校花校草，体验校园广场}