文章摘要：   防火墻簡述：   &nbs…

  防火墻簡述：

      防火墻是近幾年發(fā)展起來的一種保護計算機網(wǎng)絡(luò)安全的技術(shù)措施，也是目前使用最廣泛的一種網(wǎng)絡(luò)安全防護技術(shù)。防火墻是一個或一組實施訪問控制策略的系統(tǒng)，它可以是軟件、硬件或軟硬件的結(jié)合，其目的是提供對網(wǎng)絡(luò)的安全保護。防火墻通常位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，可以監(jiān)視、控制和更改在內(nèi)部和外部網(wǎng)絡(luò)之間流動的網(wǎng)絡(luò)通信；控制外部計算機可以訪問內(nèi)部受保護的環(huán)境，并確定訪問的時間、權(quán)限，服務(wù)類型和質(zhì)量等，檢查內(nèi)部流傳的信息，避免保密信息流出，達到抵擋外部入侵和防止內(nèi)部信息泄密的目的。

 防火墻功能、性能、可管理性分析：

      功能和性能一直是客戶評價防火墻的主要方面，尤其是性能由于可量化，更是對比的重點，但真正搞明白這兩個問題卻不容易。功能：2～7層訪問控制功能，尤其是應(yīng)用層深度過濾，應(yīng)能與下列功能任意組合使用:地址映射、端口映射、VLAN Trunk支持、用戶認證、動態(tài)包過濾、流量控制等。
      安全功能，重點是抗Synflood。防火墻作為網(wǎng)絡(luò)的單一通道，要保證受保護網(wǎng)絡(luò)的安全，需要重點考察安全防護功能能否在過濾攻擊的同時保證正常訪問，是否對偽造源地址攻擊和真實源地址攻擊同時有效，能否保護服務(wù)器免受沖擊。該功能應(yīng)能和地址映射、端口映射、VLAN Trunk支持、用戶認證、動態(tài)包過濾、流量控制等同時或任意組合使用。實用性能：性能測試一般包括6個主要方面:吞吐量、延遲、丟包率、背靠背、并發(fā)連接數(shù)、新建連接速率。實用性能即考察在接近用戶真實使用情況下的性能。
新建連接速率，由于網(wǎng)絡(luò)應(yīng)用具有波動性大,即不同時間訪問量差異很大的特點，要求防火墻也能適應(yīng)這種情況，相應(yīng)的考量指標(biāo)即新建連接速率?？紤]到用戶網(wǎng)絡(luò)和應(yīng)用的復(fù)雜性，還需要打開常用功能，例如:包過濾、內(nèi)容過濾、抗攻擊，在這種情況下測試新建連接速率。

      好的可管理性是安全的關(guān)鍵
      因為無法要求每個網(wǎng)絡(luò)管理員都是網(wǎng)絡(luò)安全專家，所以管理是網(wǎng)絡(luò)安全的關(guān)鍵。除去權(quán)限管理、通信加密外，還需要重點考察單機管理方便性和集中管理這兩個方面。
      就單機管理方便性來說，防火墻應(yīng)能提供多種管理方式，供管理員在不同場合使用，例如:串口命令行方式適合水平較高的管理員對防火墻進行全面管理;SSH方式適合遠程維護管理;Web方式適合遠程配置;GUI方式適合遠程配置和監(jiān)控。其中，Web方式因為不用安裝客戶端軟件比較方便靈活;GUI安裝比較麻煩，但靈活性較強。