防火墻技術(shù)與應(yīng)用

1、防火墻技術(shù)與應(yīng)用 為什么需要防火墻 防火墻基本概念 防火墻軟硬件技術(shù) 防火墻設(shè)計(jì)結(jié)構(gòu) 防火墻的功能 防火墻的性能標(biāo)準(zhǔn) 防火墻的接入方式 防火墻的典型應(yīng)用 防火墻局限性協(xié)議 OSI七層協(xié)議數(shù)據(jù)鏈路層會(huì)話層傳輸層網(wǎng)絡(luò)層應(yīng)用層表示層物理層承上啟下的作用協(xié)議TCP/IP四層協(xié)議傳輸層網(wǎng)絡(luò)層應(yīng)用層物理層TCP/IP 服務(wù)常見的服務(wù)FTP - File Transfer Protocol,用于文件傳輸。SMTP - Simple Mail Transfer Protocol, 用于發(fā)送、接收電子郵件。TELNET - 可以遠(yuǎn)程登陸到網(wǎng)絡(luò)的每個(gè)主機(jī)上,直接使用他的資源DNS - Domain Name Se

2、rvice, 被 TELNET、FTP、WWW及其它服務(wù)所用，可以把主機(jī)名字轉(zhuǎn)換為 IP 地址。WWW - World Wide Web, 是 FTP、 gopher、WAIS及其它信息服務(wù)的結(jié)合體,使用超文本傳輸協(xié)議 ( )。RPC -遠(yuǎn)程過(guò)程調(diào)用服務(wù)。如 NFS - Network File System, 可允許系統(tǒng)共享目錄與磁盤。NIS - Network Information Services, 網(wǎng)絡(luò)信息服務(wù)容許多個(gè)系統(tǒng)共享數(shù)據(jù)庫(kù),如 password file容許集中管理。 X Window System ：一個(gè)圖形化的窗口系統(tǒng)。 TCP與UDP端口一個(gè)TCP或UDP連接由下述要

3、素唯一確定：源IP地址、目的地IP地址、源端口、目的地端口。TCP或UDP用協(xié)議端口標(biāo)識(shí)通信進(jìn)程，端口是一種抽象的軟件結(jié)構(gòu)（包括一些數(shù)據(jù)結(jié)構(gòu)和I/O緩沖區(qū)）。應(yīng)用程序（即進(jìn)程）通過(guò)系統(tǒng)調(diào)用與某些端口建立連接后，傳輸層傳給該端口的數(shù)據(jù)被相應(yīng)進(jìn)程所接收。接口又是進(jìn)程訪問(wèn)傳輸服務(wù)的人口點(diǎn)。每個(gè)端口擁有一個(gè)叫端口號(hào)的16位整數(shù)標(biāo)識(shí)符，用于區(qū)分不同端口。TCP和UDP軟件分別可以提供65536個(gè)不同的端口。端口有兩部分，一部分是保留端口（端口號(hào)小于1024，對(duì)應(yīng)于服務(wù)器進(jìn)程），一部分是自由端口（以本地方式分配）。TCP與UDP端口某些服務(wù)進(jìn)程通常對(duì)應(yīng)于特定的端口防火墻技術(shù)與應(yīng)用 為什么需要防火墻 防火墻

4、基本概念 防火墻軟硬件技術(shù) 防火墻設(shè)計(jì)結(jié)構(gòu) 防火墻的功能 防火墻的性能標(biāo)準(zhǔn) 防火墻的接入方式 防火墻的典型應(yīng)用 防火墻局限性網(wǎng)絡(luò)安全現(xiàn)狀來(lái)自黑客的攻擊蠕蟲病毒對(duì)網(wǎng)絡(luò)的影響協(xié)議的漏洞 系統(tǒng)的漏洞網(wǎng)絡(luò)管理困難2003被稱為”蠕蟲年” ，年初的SQL蠕蟲年中的沖擊波,年底的郵件型病毒 Sobig都對(duì)網(wǎng)絡(luò)造成很大的影響。不正常的流量經(jīng)常會(huì)導(dǎo)致網(wǎng)絡(luò)癱瘓TCP/IP 協(xié)議MS Windows2000/XP不斷發(fā)布的漏洞其他操作系統(tǒng)也不可避免的存在漏洞企業(yè)網(wǎng)絡(luò)日益龐大，傳統(tǒng)辦法管理困難很容易出現(xiàn)問(wèn)題來(lái)自黑客的攻擊Database serverInternet發(fā)起攻擊頁(yè)面被篡改 Web server服務(wù)器宕機(jī)

5、蠕蟲病毒對(duì)網(wǎng)絡(luò)的影響Database serverInternet Web server外部病毒源網(wǎng)絡(luò)阻塞蠕蟲病毒對(duì)網(wǎng)絡(luò)的影響Database serverInternet Web server外部病毒源網(wǎng)絡(luò)正常運(yùn)行網(wǎng)絡(luò)管理困難Database serverInternet Web server外部資源內(nèi)容控制流量控制訪問(wèn)日志防火墻技術(shù)與應(yīng)用 為什么需要防火墻 防火墻基本概念 防火墻軟硬件技術(shù) 防火墻設(shè)計(jì)結(jié)構(gòu) 防火墻的功能 防火墻的性能標(biāo)準(zhǔn) 防火墻的接入方式 防火墻的典型應(yīng)用 防火墻局限性防火墻基本概念ServerClient 防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域（公共網(wǎng)和企業(yè)內(nèi)部網(wǎng)） 之間的

6、一系列部件的組合。 它是不同網(wǎng)絡(luò)（安全域）之間的唯一出入口防火墻的分類按形態(tài)分類軟件防火墻硬件防火墻防火墻的分類按保護(hù)對(duì)象分類單機(jī)防火墻網(wǎng)絡(luò)防火墻InternetInternet保護(hù)整個(gè)網(wǎng)絡(luò)防火墻的發(fā)展過(guò)程基于路由器的防火墻將過(guò)濾功能從路由器中獨(dú)立出來(lái)，并加上審計(jì)和告警功能針對(duì)用戶需求，提供模塊化的軟件包軟件可通過(guò)網(wǎng)絡(luò)發(fā)送，用戶可根據(jù)需要構(gòu)造防火墻與第一代防火墻相比，安全性提高了，價(jià)格降低了利用路由器本身對(duì)分組的解析,進(jìn)行分組過(guò)濾過(guò)濾判斷依據(jù)：地址、端口號(hào)、IP旗標(biāo)及其它網(wǎng)絡(luò)特征防火墻與路由器合為一體，只有過(guò)濾功能適用于對(duì)安全性要求不高的網(wǎng)絡(luò)環(huán)境是批量上市的專用防火墻產(chǎn)品包括分組過(guò)濾或者借用路

7、由器的分組過(guò)濾功能裝有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置安全性和速度大為提高。防火墻廠商具有操作系統(tǒng)的源代碼，并可實(shí)現(xiàn)安全內(nèi)核去掉了不必要的系統(tǒng)特性，加固內(nèi)核，強(qiáng)化安全保護(hù)在功能上包括了分組過(guò)濾、應(yīng)用網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)增加了許多附加功能：加密、鑒別、審計(jì)、NAT轉(zhuǎn)換透明性好，易于使用基于安全操作系統(tǒng)的防火墻基于通用操作系統(tǒng)的防火墻防火墻工具套防火墻技術(shù)與應(yīng)用 為什么需要防火墻 防火墻基本概念 防火墻軟硬件技術(shù) 防火墻設(shè)計(jì)結(jié)構(gòu) 防火墻的功能 防火墻的性能標(biāo)準(zhǔn) 防火墻的接入方式 防火墻的典型應(yīng)用 防火墻局限性防火墻硬件技術(shù)Intel X86 工控機(jī)架構(gòu)

8、ASIC硬件技術(shù)網(wǎng)絡(luò)處理器(NP)架構(gòu)多核處理器架構(gòu)防火墻硬件技術(shù)Intel X86 工控機(jī)架構(gòu)Intel X86架構(gòu)的防火墻以其高靈活性和擴(kuò)展性一直受到國(guó)內(nèi)、國(guó)外眾多防火墻廠商的青睞X86 CPU由于考慮了各種應(yīng)用的需要，具有一般化的通用體系結(jié)構(gòu)和指令集，容易支持復(fù)雜的運(yùn)算并容易開發(fā)新的功能隨著Intel X86 架構(gòu)的性能不斷提升，基于Intel X86架構(gòu)的防火墻已能滿足大多數(shù)網(wǎng)絡(luò)對(duì)帶寬的需求防火墻硬件技術(shù)ASIC硬件技術(shù)ASIC：Application Specific Integrated Circuit 特定用途集成電路ASIC專用硬件加速技術(shù)主要是部分國(guó)外廠商的防火墻產(chǎn)品采用 如

9、NetScreen 作為硬件集成電路，它把指令或計(jì)算邏輯固化到硬件中，獲得高處理性能ASIC最大的缺點(diǎn)是缺乏靈活性。指令或計(jì)算邏輯固化到硬件中，就很難修改升級(jí)、增加新的功能；而且，ASIC的設(shè)計(jì)和制造周期長(zhǎng)，很難根據(jù)萬(wàn)變的網(wǎng)絡(luò)新應(yīng)用進(jìn)行調(diào)整防火墻硬件技術(shù)網(wǎng)絡(luò)處理器(NP)技術(shù) 什么是NP技術(shù)？ NP的理論優(yōu)點(diǎn) 樂(lè)觀者如是認(rèn)為 NP技術(shù)發(fā)展現(xiàn)實(shí)什么是NP技術(shù)？網(wǎng)絡(luò)處理器(Network Processor,簡(jiǎn)稱NP) 顧名思義即專為網(wǎng)絡(luò)數(shù)據(jù)處理而設(shè)計(jì)的芯片或芯片組能夠直接完成網(wǎng)絡(luò)數(shù)據(jù)處理的一般任務(wù)，如TCP/IP數(shù)據(jù)的校驗(yàn)和計(jì)算、包分類、路由查找等；同時(shí)，硬件體系結(jié)構(gòu)的設(shè)計(jì)也彌補(bǔ)了傳統(tǒng)IA體系的

10、不足，他們大多采用高速的接口技術(shù)和總線規(guī)范，具有較高的I/O能力基于網(wǎng)絡(luò)處理器的網(wǎng)絡(luò)設(shè)備的包處理能力得到了很大提升，很多需要高性能的領(lǐng)域，如千兆交換機(jī)、路由器、防火墻的設(shè)計(jì)都可以采用NP來(lái)實(shí)現(xiàn)NP的理論優(yōu)點(diǎn)NP技術(shù)可以很好的解決硬件加速和軟件可擴(kuò)展的折忠問(wèn)題： 一方面，網(wǎng)絡(luò)處理器獨(dú)立于CPU之外，是專門為進(jìn)行網(wǎng)絡(luò)分組處理而開發(fā)的，具有優(yōu)化的體系結(jié)構(gòu)和指令集，因此它比CPU有著更高的處理性能，能夠滿足網(wǎng)絡(luò)高速發(fā)展的需求 另一方面，它具有的專門的指令集和配套的軟件開發(fā)系統(tǒng)，具有很強(qiáng)的編程能力，能夠很方便的開發(fā)各種應(yīng)用，支持可擴(kuò)展的服務(wù)，從而能夠很好的滿足網(wǎng)絡(luò)業(yè)務(wù)多樣化的發(fā)展趨勢(shì)，比ASIC更靈活的

11、應(yīng)對(duì)日益更新的網(wǎng)絡(luò)需求樂(lè)觀者如是認(rèn)為 網(wǎng)絡(luò)處理器以其杰出的包處理性能及可編程性成為構(gòu)筑網(wǎng)絡(luò)轉(zhuǎn)發(fā)引擎不可替代的核心，它將成為新一代網(wǎng)絡(luò)設(shè)備的核心處理器，是未來(lái)網(wǎng)絡(luò)設(shè)備的發(fā)展趨勢(shì) 它被認(rèn)為是推動(dòng)下一代網(wǎng)絡(luò)發(fā)展的一項(xiàng)核心技術(shù)，并開始原來(lái)越多的受到業(yè)界的關(guān)注 國(guó)內(nèi)外許多公司和大學(xué)紛紛投入力量展開了對(duì)網(wǎng)絡(luò)處理器的相關(guān)研究，并對(duì)將其用于中高端網(wǎng)絡(luò)設(shè)備的研究與開發(fā)之中NP技術(shù)發(fā)展現(xiàn)實(shí) NP產(chǎn)品遠(yuǎn)未成熟 NP不少，產(chǎn)品接口卻不統(tǒng)一，無(wú)法完成無(wú)縫的整合 NPU論壇（網(wǎng)絡(luò)處理器論壇NPF）正在推動(dòng)相關(guān)標(biāo)準(zhǔn)的 制定但還很不完善 NP防火墻的測(cè)試標(biāo)準(zhǔn)并沒(méi)有推出，有關(guān)測(cè)試方法的Benchmark都還沒(méi)有制定出來(lái) 對(duì)復(fù)雜

12、應(yīng)用數(shù)據(jù)，NP的表現(xiàn)就不令人滿意，例如分片數(shù)據(jù)包的重?fù)?jù)和加密的處理 目前在網(wǎng)絡(luò)數(shù)據(jù)廠商中，采用NP技術(shù)的數(shù)量非常有限多核處理器 多核處理器多核處理器是指在一枚處理器中集成兩個(gè)或多個(gè)完整的計(jì)算引擎(內(nèi)核)。多核芯片，使之滿足“橫向擴(kuò)展”（而非“縱向擴(kuò)充”）方法，從而提高性能。該架構(gòu)實(shí)現(xiàn)了“分治法”戰(zhàn)略。通過(guò)劃分任務(wù)，線程應(yīng)用能夠充分利用多個(gè)執(zhí)行內(nèi)核，并可在特定的時(shí)間內(nèi)執(zhí)行更多任務(wù)。多核技術(shù)的瓶頸可編程性是多核處理器面臨的最大問(wèn)題。一旦核心多過(guò)八個(gè)，就需要執(zhí)行程序能夠并行處理。盡管在并行計(jì)算上，人類已經(jīng)探索了超過(guò)40年，但編寫、調(diào)試、優(yōu)化并行處理程序的能力還非常弱。 一味增加并行的處理單元是行不通

13、的。并行計(jì)算機(jī)的發(fā)展歷史表明，并行粒度超過(guò)100以后，程序就很難寫，能做到128個(gè)以上的應(yīng)用程序很少。CPU到了100個(gè)核以上后，現(xiàn)在并行計(jì)算機(jī)系統(tǒng)遇到的問(wèn)題，在CPU一樣會(huì)存在。英特爾雖然已向外界展示了80核處理器原型，但尷尬的是，目前還沒(méi)有能夠利用這一處理器的操作系統(tǒng)。防火墻軟件技術(shù)簡(jiǎn)單包過(guò)濾防火墻狀態(tài)檢測(cè)包過(guò)濾防火墻新興過(guò)濾技術(shù)防火墻應(yīng)用代理防火墻簡(jiǎn)單包過(guò)濾防火墻應(yīng)用層TCP 層IP 層網(wǎng)絡(luò)接口層TCP開始攻擊IP開始攻擊TCPTCP開始攻擊IPETH開始攻擊TCP開始攻擊IP應(yīng)用層TCP 層IP 層網(wǎng)絡(luò)接口層TCP開始攻擊IP開始攻擊TCPTCP開始攻擊IPETH開始攻擊只檢查報(bào)頭簡(jiǎn)單

14、包過(guò)濾防火墻不檢查數(shù)據(jù)區(qū)簡(jiǎn)單包過(guò)濾防火墻不建立連接狀態(tài)表前后報(bào)文無(wú)關(guān)應(yīng)用層控制很弱狀態(tài)檢測(cè)包過(guò)濾防火墻應(yīng)用層TCP 層IP 層網(wǎng)絡(luò)接口層TCP開始攻擊IP開始攻擊TCPTCP開始攻擊IPETH開始攻擊TCP開始攻擊IP應(yīng)用層TCP 層IP 層網(wǎng)絡(luò)接口層TCP開始攻擊IP開始攻擊TCPTCP開始攻擊IPETH開始攻擊只檢查報(bào)頭不檢查數(shù)據(jù)區(qū)建立連接狀態(tài)表前后報(bào)文相關(guān)應(yīng)用層控制很弱建立連接狀態(tài)表應(yīng)用代理防火墻應(yīng)用層TCP 層IP 層網(wǎng)絡(luò)接口層TCP開始攻擊IP開始攻擊TCPTCP開始攻擊IPETH開始攻擊TCP開始攻擊IP應(yīng)用層TCP 層IP 層網(wǎng)絡(luò)接口層TCP開始攻擊IP開始攻擊TCPTCP開始攻

15、擊IPETH開始攻擊只檢查數(shù)據(jù)不檢查IP、TCP報(bào)頭不建立連接狀態(tài)表網(wǎng)絡(luò)層保護(hù)比較弱新興的檢測(cè)技術(shù) 核檢測(cè)應(yīng)用層TCP 層IP 層網(wǎng)絡(luò)接口層TCP開始攻擊IP開始攻擊TCPTCP開始攻擊IPETH開始攻擊應(yīng)用層TCP 層IP 層網(wǎng)絡(luò)接口層TCP開始攻擊IP開始攻擊TCPTCP開始攻擊IPETH開始攻擊TCP開始攻擊IP檢查多個(gè)報(bào)文組成的會(huì)話建立連接狀態(tài)表TCP主服務(wù)器IPTCP硬盤數(shù)據(jù)IP開始攻擊重寫會(huì)話主服務(wù)器硬盤數(shù)據(jù)報(bào)文1報(bào)文2報(bào)文3防火墻技術(shù)與應(yīng)用 為什么需要防火墻 防火墻基本概念 防火墻軟硬件技術(shù) 防火墻設(shè)計(jì)結(jié)構(gòu) 防火墻的功能 防火墻的性能標(biāo)準(zhǔn) 防火墻的接入方式 防火墻的典型應(yīng)用 防火

16、墻局限性防火墻的設(shè)計(jì)結(jié)構(gòu)防火墻技術(shù)與應(yīng)用 為什么需要防火墻 防火墻基本概念 防火墻軟硬件技術(shù) 防火墻設(shè)計(jì)結(jié)構(gòu) 防火墻的功能 防火墻的性能標(biāo)準(zhǔn) 防火墻的接入方式 防火墻的典型應(yīng)用 防火墻局限性防火墻的功能 從總體上看，防火墻應(yīng)具有以下五大基本功能：過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為；封堵某些禁止的業(yè)務(wù)；記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和告警。基本的訪問(wèn)控制Access nat to any pass Access to blockAccess default pass規(guī)則匹配成功Database server 基于源IP地址 基于目的IP地址 基于源端口 基于目的端口

17、 基于時(shí)間 基于流量 基于文件 基于網(wǎng)址 基于MAC地址 基于用戶 Web server審計(jì)和報(bào)警機(jī)制 在防火墻結(jié)合網(wǎng)絡(luò)配置和安全策略對(duì)網(wǎng)絡(luò)數(shù)據(jù)分析完成后，就要作出接受、丟棄、拒絕等動(dòng)作；并通過(guò)審計(jì)功能做日志記錄 通過(guò)日志的記錄，我們可以找出網(wǎng)絡(luò)中存在的問(wèn)題審計(jì)功能Clint響應(yīng)請(qǐng)求發(fā)送請(qǐng)求通信日志通信日志審計(jì)功能Clint響應(yīng)請(qǐng)求發(fā)送請(qǐng)求命令日志命令日志命令信息路由功能中國(guó)教育網(wǎng)Internet內(nèi)網(wǎng)主機(jī)B直接連接Internet主機(jī)A通過(guò)教育網(wǎng)上Internet地址轉(zhuǎn)換功能 NATInternetHost A受保護(hù)網(wǎng)絡(luò)Host C Host D 防火墻數(shù)據(jù)IP報(bào)頭數(shù)據(jù)IP報(bào)頭端口映射 PAT

18、 Internet 公開服務(wù)器可以使用私有地址 隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)WWW FTP MAIL DNS MAP ：80 TO ：80MAP ：21 TO ：21MAP ：53 TO ：53MAP ：25 TO ：25IP和MAC的綁定InternetHost A Host BHost CHost DBIND To 00-50-04-BB-71-A6BIND To 00-50-04-BB-71-BCIP與MAC地址綁定后，不允許Host B假冒Host A的IP地址上網(wǎng)防火墻允許Host A上網(wǎng) 時(shí)間策略Host C Host D 在防火墻上制定基于時(shí)間的訪問(wèn)控制策略上班時(shí)間不允許訪問(wèn)Interne

19、t上班時(shí)間可以訪問(wèn)公司的網(wǎng)絡(luò)Internet1.在訪問(wèn)策略中配置某條規(guī)則起 作用的時(shí)間2.假如配置了時(shí)間策略，防火墻 在規(guī)則匹配時(shí)將跳過(guò)那些當(dāng)前 時(shí)間不在策略時(shí)間段內(nèi)的規(guī)則防火墻與入侵檢測(cè)聯(lián)動(dòng)Host C Host D Host B Host A 受保護(hù)網(wǎng)絡(luò)InternetIDS黑客發(fā)起攻擊發(fā)送通知報(bào)文驗(yàn)證報(bào)文并采取措施發(fā)送響應(yīng)報(bào)文識(shí)別出攻擊行為阻斷連接或者報(bào)警等防火墻與防病毒服務(wù)器的聯(lián)動(dòng)Internet110010101病毒服務(wù)器100010101000010101待發(fā)數(shù)據(jù)110010101100010101000010101110010101100010101000010101passpa

20、ss無(wú)病毒轉(zhuǎn)發(fā)最后一個(gè)報(bào)文，如帶有病毒則丟棄最后一個(gè)報(bào)文協(xié)議還原 檢查病毒沒(méi)有發(fā)現(xiàn)病毒可以放過(guò)最后一個(gè)報(bào)文接收數(shù)據(jù)接收數(shù)據(jù)防火墻技術(shù)與應(yīng)用 為什么需要防火墻 防火墻基本概念 防火墻軟硬件技術(shù) 防火墻設(shè)計(jì)結(jié)構(gòu) 防火墻的功能 防火墻的性能標(biāo)準(zhǔn) 防火墻的接入方式 防火墻的典型應(yīng)用 防火墻局限性衡量防火墻性能的5大指標(biāo)吞吐量：該指標(biāo)直接影響網(wǎng)絡(luò)的性能，吞吐量時(shí)延：入口處輸入幀最后1個(gè)比特到達(dá)至出口處輸出幀的第1個(gè)比特輸出所用的時(shí)間間隔丟包率：在穩(wěn)態(tài)負(fù)載下，應(yīng)由網(wǎng)絡(luò)設(shè)備傳輸，但由于資源缺乏而被丟棄的幀的百分比背靠背：從空閑狀態(tài)開始，以達(dá)到傳輸介質(zhì)最小合法間隔極限的傳輸速率發(fā)送相當(dāng)數(shù)量的固定長(zhǎng)度的幀，當(dāng)出

21、現(xiàn)第一個(gè)幀丟失時(shí)，發(fā)送的幀數(shù)并發(fā)連結(jié)數(shù)：并發(fā)連接數(shù)是指穿越防火墻的主機(jī)之間或主機(jī)與防火墻之間能同時(shí)建立的最大連接數(shù) 吞吐率定義：在不丟包的情況下能夠達(dá)到的最大速率衡量標(biāo)準(zhǔn)：吞吐量作為衡量防 火墻性能的重要指標(biāo)之一,吞吐量小就會(huì)造成網(wǎng)絡(luò)新的瓶頸，以至影響到整個(gè)網(wǎng)絡(luò)的性能 ;%#*$&*&#*(&Smartbits 6000B 測(cè)試儀以最大速率發(fā)包防火墻吞吐量小就會(huì)成為網(wǎng)絡(luò)的瓶頸100M60M時(shí)延數(shù)據(jù)包首先排隊(duì)待防火墻檢查后轉(zhuǎn)發(fā)定義：入口處輸入幀最后1個(gè)比特到達(dá)至出口處輸出幀的第一個(gè)比特輸出所用的時(shí)間間隔衡量標(biāo)準(zhǔn)：防火墻的時(shí)延能夠體現(xiàn)它處理數(shù)據(jù)的速度 Smartbits 6000B 測(cè)試儀最后1個(gè)

22、比特到達(dá)第一個(gè)比特輸出時(shí)間間隔造成數(shù)據(jù)包延遲到達(dá)目標(biāo)地丟包率定義：在連續(xù)負(fù)載的情況下，防火墻設(shè)備由于資源不足應(yīng)轉(zhuǎn)發(fā)但卻未轉(zhuǎn)發(fā)的幀百分比 衡量標(biāo)準(zhǔn)：防火墻的丟包率對(duì)其穩(wěn)定性、可靠性有很大的影響 Smartbits 6000B 測(cè)試儀發(fā)送了1000個(gè)包防火墻由于資源不足只轉(zhuǎn)發(fā)了800個(gè)包丟包率=（1000-800）/1000=20%背靠背定義：從空閑狀態(tài)開始，以達(dá)到傳輸介質(zhì)最小合法間隔極限的傳輸速率發(fā)送相當(dāng)數(shù)量的固定長(zhǎng)度的幀，當(dāng)出現(xiàn)第一個(gè)幀丟失時(shí)，發(fā)送的幀數(shù)。衡量標(biāo)準(zhǔn)：背對(duì)背包的測(cè)試結(jié)果能體現(xiàn)出被測(cè)防火墻的緩沖容量 ,網(wǎng)絡(luò)上經(jīng)常有一些應(yīng)用會(huì)產(chǎn)生大量的突發(fā)數(shù)據(jù)包（例如：NFS,備份，路由更新等），而

23、且這樣的數(shù)據(jù)包的丟失可能會(huì)產(chǎn)生更多的數(shù)據(jù)包，強(qiáng)大緩沖能力可以減小這種突發(fā)對(duì)網(wǎng)絡(luò)造成的影響Smartbits 6000B 測(cè)試儀時(shí)間（t）包數(shù)量（n）少量包包增多峰值包減少?zèng)]有數(shù)據(jù)背靠背指標(biāo)體現(xiàn)防火墻對(duì)突發(fā)數(shù)據(jù)的處理能力并發(fā)連接數(shù)定義：指穿越防火墻的主機(jī)之間或主機(jī)與防火墻之間能同時(shí)建立的最大連接數(shù) 。衡量標(biāo)準(zhǔn)：并發(fā)連接數(shù)的測(cè)試主要用來(lái)測(cè)試被測(cè)防火墻建立和維持TCP連接的性能，同時(shí)也能通過(guò)并發(fā)連 接數(shù)的大小體現(xiàn)被測(cè)防火墻對(duì)來(lái)自于客戶端的TCP連接請(qǐng)求的響應(yīng)能力 并發(fā)連接數(shù)指標(biāo)可以用來(lái)衡量穿越防火墻的主機(jī)之間能同時(shí)建立的最大連接數(shù)并發(fā)連接并發(fā)連接防火墻技術(shù)與應(yīng)用 為什么需要防火墻 防火墻基本概念 防

24、火墻軟硬件技術(shù) 防火墻設(shè)計(jì)結(jié)構(gòu) 防火墻的功能 防火墻的性能標(biāo)準(zhǔn) 防火墻的接入方式 防火墻的典型應(yīng)用 防火墻局限性NO.1 透明接入受保護(hù)網(wǎng)絡(luò)Internet如果防火墻支持透明模式，則內(nèi)部網(wǎng)絡(luò)主機(jī)的配置不用調(diào)整Host A Host CHost DHost B同一網(wǎng)段透明模式下，這里不用配置IP地址透明模式下，這里不用配置IP地址防火墻相當(dāng)于網(wǎng)橋，原網(wǎng)絡(luò)結(jié)構(gòu)沒(méi)有改變NO.2 路由接入受保護(hù)網(wǎng)絡(luò)InternetHost A Host CHost DHost B防火墻相當(dāng)于一個(gè)簡(jiǎn)單的路由器提供簡(jiǎn)單的路由功能NO.3 混合接入路由路由透明DMZ 區(qū)的概念Demilitarized Zone 非軍事化區(qū)域非安全區(qū)域DMZ安全區(qū)硬件網(wǎng)絡(luò)防火墻形態(tài)Console口內(nèi)網(wǎng)外網(wǎng)DMZ防火墻技術(shù)與應(yīng)用 為什么需要防火墻 防火墻基本概念 防火墻軟硬件技術(shù) 防火墻設(shè)計(jì)結(jié)構(gòu) 防火墻的功能 防火墻的性能 防火墻的接入方式 防火墻的典型應(yīng)用 防火墻局限性案例 1Inter