tsnr--基于vpp+dpdk的高性能防火墙

tsnr--基于vpp+dpdk的高性能防火墙

2019年01月31日 12:06:00 网络安全研发随想 阅读数:508

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/gengzhikui1992/article/details/86713135

tsnr简介

tsnr是netgate的一款高性能防火墙产品。
是netgate对之前freebsd的pfsense防火墙的重构,参考:https://www.netgate.com/blog/further-a-roadmap-for-pfsense.html

数据平面采用dpdk+vpp,控制平面采用strongswan+FRR。

tsnr vs netfilter

tsnr控制平面采用思科开源的vpp,所以在访问控制上,采用的是思科的acl列表。
不同于linux内核的netfilter,思科的ACL不是一个基于状态的防火墙,没有会话机制。

ACL和netfilter的区别,详见:https://blog.csdn.net/dog250/article/details/6572763

原文地址:https://www.cnblogs.com/zafu/p/10868582.html

时间: 2024-11-15 00:37:21

tsnr--基于vpp+dpdk的高性能防火墙的相关文章

NGINX安全防护之基于ngx_lua的web应用防火墙

NGINX安全防护 ngx_lua_waf安装说明文档 作者github地址: https://github.com/loveshell/ngx_lua_waf 转自作者说明文档: ngx_lua_waf是我一个基于ngx_lua的web应用防火墙. 代码很简单,开发初衷主要是使用简单,高性能和轻量级. 现在开源出来.其中包含我们的过滤规则.如果大家有什么建议和想fa,欢迎和我一起完善.   用途: 用于过滤post,get,cookie方式常见的web攻击 防止sql注入,本地包含,部分溢出,

UCloud基于OpenvSwitch卸载的高性能25G智能网卡实践

伴随着电商等用户在双11.秒杀之类业务高峰期流量的迅猛增长,对虚拟机网络性能提升的需求日益迫切,25G网络逐渐成为一种标配.为了解决传统纯软件Virtual Switch方案带来的性能瓶颈,我们在调研了业界主流的智能网卡方案之后,最终决定采用基于OpenvSwitch的开源方案,并成功在公有云落地应用. 相较于传统方案,新的智能网卡方案在整个switch的转发上性能为小包24Mpps,单VF的接收性能达15Mpps,网卡整体性能提升10倍以上.应用于云主机后,可将其网络能力提升至少4倍,时延降低

基于.NET MVC的高性能IOC插件化架构

基于.NET MVC的高性能IOC插件化架构 最近闲下来,整理了下最近写的代码,先写写架构,后面再分享几个我自己写的插件 最近经过反复对比,IOC框架选择了Autofac,原因很简单,性能出众,这篇博文是我的各大IOC框架的性能测试:http://www.cnblogs.com/gengzhe/p/4370979.html 我先分析下我的系统架构: 这是整体结构图,先简单介绍下:Sun.Core是系统核心,包含了系统必要组件及基础设施的所有接口及必要拓展类.Sun.Framework是整个系统的

基于JDK7 NIO2的高性能web服务器实践之二(转)

前一篇博客,我简单提了下怎么为NIO2增加TransmitFile支持,文件传送吞吐量是一个性能关注点,此外,并发连接数也是重要的关注点. 不过JDK7中又一次做了简单的实现,不支持同时投递多个AcceptEx请求,只支持一次一个,返回后再投递.这样,客户端连接的接受速度必然大打折扣.不知道为什么sun会做这样的实现,WSASend()/WSAReceive()一次只允许一个还是可以理解,毕竟简化了编程,不用考虑封包乱序问题.也降低了内存耗尽的风险.AcceptEx却没有这样的理由了. 于是再一

基于MINA构建简单高性能的NIO应用

mina是非常好的C/S架构的java服务器,这里转了一篇关于它的使用感受. 前言MINA是Trustin Lee最新制作的Java通讯框架.通讯框架的主要作用是封装底层IO操作,提供高级的操作API.比较出名的通讯框架有C++的ACE.Python的Twisted,而Java的通讯框架还有QuickServer.Netty2.Cindy.Grizzly等. 2004年6月,Trustin Lee发布了一个通讯框架Netty2,是Java界第一个事件模型架构的通讯框架,Cindy也从中借鉴了不少

saltstack基于pillar统一配置iptables防火墙实战

一.概述 grains是minion启动时加载,在minion运行过程中不会发生变化,所以是静态数据.grains数据的定制可以在各minion端,也可以放在master端;grains中包含许多的信息,如:运行的内核版本,操作系统,网络接口地址,MAC地址,cpu,内存等等信息.Pillar主要用来保存各minion自定义变量;是Salt用来分发变量到所有或指定minion的一个定制接口,所以相对grains来说可以称为动态的数据,保存在master端.本文将基于pillar为各主机定制要开放

基于.NET MVC的高性能IOC插件化架构(二)之插件加载原理

上一篇博文简单介绍了下插件化的代码组成部门:http://www.cnblogs.com/gengzhe/p/4390932.html 这篇博客主要讲解下插件化实现的原理,先面先讲解几个概念: 一.契约 插件与系统必须有契约,系统才能发现插件并正确加载插件,我采用的是所有插件都实现Sun.Core里面的IPlugin接口. 二.自述 插件在被加载的时候,需要告诉系统,我是什么类型的插件,我的guid,我依赖的程序集,我的状态与权限,我的配置信息等等,这个行为是插件的自我描述,简称自述. 三.配置

myReactorServer: 基于事件驱动的C++高性能服务器

myReactorServer: A High Performance C++ Web Server 项目地址 myReactorServer 性能评估结果 身为一个Web Server,最重要的当然还是性能表现.所以不废话,先上性能评估结果. 由于这个项目借鉴了muduo项目的架构,所以性能对比的对象主要就是muduo. 测试环境 OS: Ubuntu 14.04 内存: 8G CPU: I7-4930K 评估工具 WebBench 评估方法 评估结果 测试截图放在后面. | 服务器 | 短连

服务器访问控制——基于组网结构前端有防火墙,服务器都在防火墙内,内部使用内网ip的架构

#!/usr/bin/env python#-*- coding: utf-8 -*-'''Create date: 2018-10-17Last update:Version: 1.0Description:登陆限制需求: X.X网段不允许访问外网 root用户登陆可以访问外网 root用户登陆情况下普通用户无法禁止访问外网,除非root用户也不访问外网 普通用户登陆不允许访问外网 普通用户可以申请一段时间访问外网Usage method:放入crontab中自定义执行间隔,不给参数时,除非r