防火墻的性能指標

第4章

防火墻廠商及產(chǎn)品介紹57陳小梅4.1防火墻性能指標4.1.1評估防火墻性能指標4.1.2評估防火墻參數(shù)評估性能可靠性可用性可擴展性可管理性成本耗費可審計性包括兩層含義：一是防火墻能夠加強網(wǎng)絡的安全性；二是防火墻本身是安全可靠的，具有較強的抗攻擊能力?？捎眯酝瑯影瑑蓪雍x：一是防火墻可以提供多種工作模式，多種檢測手段來靈活、便捷地實施安全策略，對于用戶的安全性保護來說是可用的；二是對于任何因設備運行異常而出現(xiàn)的錯誤，防火墻都可以自動地進行處理，保證防火墻可以持續(xù)不斷地運行，主要指基于故障轉移、群集或者其他策略的冗余體系結構和備份過程等。防火墻能夠適應用戶網(wǎng)絡結構和規(guī)模的變化，無論小規(guī)模、還是大規(guī)模網(wǎng)絡為了有效監(jiān)控網(wǎng)絡數(shù)據(jù)流，防火墻應該具有較強的事件分類記錄和自動分析、審計功能。防火墻應該能夠對任何超過正常閾值范圍的異常事件，可以通過多種手段進行通知和告警。防火墻網(wǎng)絡事件進行細粒度地分類記錄，對于還應該能夠自動對事件數(shù)據(jù)進行分析，主動地發(fā)現(xiàn)潛在的威脅行為，提供攻擊預報功能可管理性主要是指防火墻應該為管理員提供友好且簡單的圖形界面以便管理員快速，便捷地進行防火墻運行參數(shù)和執(zhí)行安全策略的配置，減少因配置操作的復雜性帶來的系統(tǒng)漏洞成本耗費指根據(jù)用戶需求而決定的設備采購費用，包括硬件組件、軟件組件和整個的運行成本費用4.1.1評估防火墻性能指標其它差數(shù)時延配置與管理接口的數(shù)量和類型并發(fā)連接數(shù)工作模式評估參數(shù)丟包率可用性參數(shù)吞吐量日記和審查參數(shù)4.1.2評估防火墻參數(shù)吞吐量防火墻轉發(fā)數(shù)據(jù)包的能力。每秒鐘可以通過防火墻的最大數(shù)據(jù)流量，通常用防火墻在不丟包的條件下每秒轉發(fā)包的最大數(shù)目來表示。單位為：位每秒（bit/s)或包每秒（p/s)時延在系統(tǒng)重載情況下，防火墻是否會成為網(wǎng)絡訪問服務的瓶頸。時延指的是在防火墻最大吞吐量的情況下，數(shù)據(jù)包從到達防火墻到被防火墻轉發(fā)出去的時間間隔。丟包率指防火墻在不同負載情況下，因為來不及處理而不得不丟棄的數(shù)據(jù)包占收到的數(shù)據(jù)包總數(shù)的比例。并發(fā)連接數(shù)防火墻對業(yè)務流的處理能力，是其能夠同時處理的點到點連接的最大數(shù)目。4.1.2評估防火墻參數(shù)NAT模式路由模式透明模式5.工作模式的三種類型4.1.2評估防火墻參數(shù)路由模式

傳統(tǒng)防火墻一般工作于路由模式，防火墻可以讓處于不同網(wǎng)段的計算機通過路由轉發(fā)的方式互相通信。如圖：防火墻路由模式的工作方式

NAT模式實際是路由模式的一種。這種模式將內聯(lián)網(wǎng)絡的IP地址翻譯成外聯(lián)網(wǎng)絡的一個或多個合法地址，然后訪問Internet。NAT模式根據(jù)可以分為正向地址翻譯和反向地址翻譯，也可以分一對一地址映射模式和一對多虛擬地址模式。網(wǎng)絡地址轉換模式透明模式

可以過濾通過防火墻的數(shù)據(jù)包，而不會修改數(shù)據(jù)包包頭中的源地址或目的地址信息。不但可以完成同一網(wǎng)段的數(shù)據(jù)包轉發(fā)，而且不需要修改周邊網(wǎng)絡設備的設置。如圖：防火墻透明模式的工作方式

配置與管理包括兩種方式：1、圖形化界面。2、命令行界面接口的數(shù)量和類型防火墻一般設有多個內聯(lián)網(wǎng)絡接口、一個外聯(lián)網(wǎng)絡接口和用戶系統(tǒng)配置和維護的控制接口。日志和審計參數(shù)防火墻對所有流經(jīng)它的數(shù)據(jù)流都應該有詳細的記錄，包括正常的通信和攻擊行為可用性參數(shù)用于評價防火墻的容災容錯能力和附加的性能增強能力。主－備份雙機模式，備份防火墻持續(xù)不斷地檢測主防火墻工作狀態(tài)。雙鏈路并行傳遞，實現(xiàn)網(wǎng)