|
|
Junos firewall filter 特性,其他厂家习惯叫做ACL,它和墙的区别是,基于ip 包头来做过滤,不去检测tcp session的活跃性.简单来说,junos的firewall filter是基于行为而非基于状态的.
思 科的标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式.应用比较广泛,经常在要求控制级别较低的情况下使用.如果要更加复杂的控制数 据包的传输就需要使用扩展访问控制列表了, 扩展ACL功能很强大,他可以控制源IP,目的IP,源端口,目的端口等,能实现相当精细的控制,扩展ACL不仅读取IP包头的源地址/目的地址,还要读 取第四层包头中的源端口和目的端口的IP.不过它存在一个缺点,那就是在没有硬件ACL加速的情况下,扩展ACL会消耗大量的器CPU资源.
http://www.cio.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5b9a.shtml 思科 access-list
Juniper 设备处理packet filter 使用的是custom-designed internet processor ASIC,这和其他厂家的处理机制是不同的,不需要耗费大量的cpu资源.
每一个m/t系列里都有internet processor ASIC芯片
user@Shiraz show chassis hardware
Hardware inventory:
Item Version Part number Serial number Deription
Chassis 5
Midplane REV 03 710-002650 HF1437
Power Supply A Rev 04 740-002497 LK
Display REV 04 710-001995 HF1278
Host 01 teknor
FEB REV 08 710-002503 AL0781  
1 |
|
发表于 2019-4-12 10:38:37
