1、09網(wǎng)絡(luò)工程 第8小組 版權(quán)所有，翻版必究,防火墻技術(shù),性能參數(shù)、價格、選型,09網(wǎng)絡(luò)工程 第8小組 版權(quán)所有，翻版必究,防火墻的基本概念,所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障。,09網(wǎng)絡(luò)工程 第8小組 版權(quán)所有，翻版必究,防火墻的性能參數(shù),傳輸層性能 網(wǎng)絡(luò)層性能 應(yīng)用層性能,09網(wǎng)絡(luò)工程 第8小組 版權(quán)所有，翻版必究,傳輸層性能,傳輸層性能指的是與防火墻狀態(tài)相關(guān)的性能和擴展性，它主要包括: TCP并發(fā)連接數(shù) 最大TCP連接建立速率,09網(wǎng)絡(luò)工程 第8小組 版權(quán)所有，翻版必究,1、TCP并發(fā)連接數(shù) 它是衡量防火墻性能的一個

2、重要指標。它表示防火墻對其業(yè)務(wù)信息流的處理能力。 2、最大TCP連接建立速率 該項指標是防火墻維持的最大TCP連接建立速度，這個指標主要體現(xiàn)了防火墻對于連接請求的實時反應(yīng)能力。,09網(wǎng)絡(luò)工程 第8小組 版權(quán)所有，翻版必究,網(wǎng)絡(luò)層性能,吞吐量 時延 丟包率 背靠背緩沖,09網(wǎng)絡(luò)工程 第8小組 版權(quán)所有，翻版必究,1、吞吐量 吞吐量就是指在沒有數(shù)據(jù)幀丟失的情況下，防火墻能夠接受并轉(zhuǎn)發(fā)的最大速率。 2、時延 網(wǎng)絡(luò)的應(yīng)用種類非常復(fù)雜，許多應(yīng)用對時延非常敏感（例如音頻、視頻等），而網(wǎng)絡(luò)中加入防火墻必然會增加傳輸時延，所以較低的時延對防火墻來說是不可或缺的。,09網(wǎng)絡(luò)工程 第8小組 版權(quán)所有，翻版必究,3

3、、丟包率 較低的丟包率，意味著防火墻在強大的負載壓力下，能夠穩(wěn)定地工作，以適應(yīng)各種網(wǎng)絡(luò)的復(fù)雜應(yīng)用和較大數(shù)據(jù)流量對處理性能的高要求。 4、背靠背緩沖 背靠背緩沖是測試防火墻設(shè)備在接收到以最小幀間隔傳輸?shù)木W(wǎng)絡(luò)流量時，在不丟包條件下所能處理的最大包數(shù)。該項指標是考察防火墻為保證連續(xù)不丟包所具備的緩沖能力。,09網(wǎng)絡(luò)工程 第8小組 版權(quán)所有，翻版必究,應(yīng)用層性能,HTTP傳輸速率 最大HTTP數(shù)據(jù)處理速率,09網(wǎng)絡(luò)工程 第8小組 版權(quán)所有，翻版必究,1、HTTP傳輸速率 該指標主要是測試防火墻在應(yīng)用層的平均傳輸速率，是被請求的目標數(shù)據(jù)通過防火墻的平均傳輸速率。 2、最大HTTP數(shù)據(jù)處理速率 該項指標是

4、防火墻所能維持的最大事務(wù)處理速率，即用戶在訪問目標時，所能達到的最大速率。,09網(wǎng)絡(luò)工程 第8小組 版權(quán)所有，翻版必究,主流防火墻的價格,現(xiàn)在的防火墻生產(chǎn)廠商從實力和市場地位來看，基本上可以分為以下幾個陣營，它們各有特點，不盡相同： 國外防火墻廠家 國內(nèi)一線廠家 國內(nèi)二線廠家 國內(nèi)三線廠家,09網(wǎng)絡(luò)工程 第8小組 版權(quán)所有，翻版必究,1、國外防火墻廠家：比較著名的是NetScreen，Cisco(PIX)，CheckPoint(FW1)等。 2、國內(nèi)一線廠家：包括華為、天融信、安氏、聯(lián)想、東軟等國內(nèi)大廠。 3、國內(nèi)二線廠家：這里包含了許多廠商：方正、億陽、東方龍馬、中網(wǎng)、天網(wǎng)、網(wǎng)威、得實、華依

5、等等。 4、國內(nèi)三線廠家：擁有公安部銷售許可證的廠家還有不少，這部分廠商的市場競爭力相對較弱。,09網(wǎng)絡(luò)工程 第8小組 版權(quán)所有，翻版必究,高中低端防火墻產(chǎn)品價格區(qū)分,現(xiàn)在比較流行的防火墻分級方式有以下幾種，例如可以根據(jù)吞吐量，分為SOHO、百兆、千兆;而在吞吐量的基礎(chǔ)上可以根據(jù)并發(fā)連接（Session）數(shù)來進一步分類。根據(jù)并發(fā)連接來分的話，大致可以分為：SOHO級產(chǎn)品的并發(fā)連接數(shù)小于1萬，百兆級產(chǎn)品的并發(fā)連接數(shù)中小于五、六萬的屬于低端，在五六萬到十五萬左右的屬于中端，十五萬以上的屬于高端；千兆產(chǎn)品的并發(fā)連接數(shù)應(yīng)該在25萬以上。這些防火墻產(chǎn)品相應(yīng)的價格范圍（是成交價，不是列表價）分別是SOHO

6、在1萬以內(nèi)，百兆低端產(chǎn)品在兩萬以內(nèi)，百兆中端產(chǎn)品在兩萬到五萬之內(nèi)，百兆高端在五萬到九萬之間；千兆產(chǎn)品由于配置的區(qū)別價格都在10萬60萬不等。,09網(wǎng)絡(luò)工程 第8小組 版權(quán)所有，翻版必究,防火墻的選型,軟、硬防火墻的選型考慮 防火墻類型的選型考慮,09網(wǎng)絡(luò)工程 第8小組 版權(quán)所有，翻版必究,1、軟、硬防火墻的選型考慮 防火墻有軟件防火墻和硬件防火墻兩種。軟件防火墻是安裝在計算機平臺的軟件產(chǎn)品，它通過在操作系統(tǒng)底層工作來實現(xiàn)網(wǎng)絡(luò)管理和防御功能的優(yōu)化。硬件防火墻的硬件和軟件都單獨進行設(shè)計，采用專用的網(wǎng)絡(luò)芯片處理數(shù)據(jù)包。同時，采用專門的操作系統(tǒng)平臺，從而避免通用操作系統(tǒng)的安全性漏洞。所以硬件防火墻無論

7、在性能方面，還是在自身安全性方面都較軟件防火墻先進許多。,09網(wǎng)絡(luò)工程 第8小組 版權(quán)所有，翻版必究,2、防火墻類型的選型考慮 目前在市場中的防火墻根據(jù)所采用的主要過濾技術(shù)可劃分為： 包過濾型防火墻； 應(yīng)用代理型防火墻； 狀態(tài)包過濾型防火墻。,09網(wǎng)絡(luò)工程 第8小組 版權(quán)所有，翻版必究,包過濾型防火墻,包過濾型防火墻目前在廣大中小型企業(yè)中應(yīng)用最廣，主要是它的價格比較便宜，而且性能也相當不錯。它的安全性不足之處在這類企業(yè)中也表現(xiàn)得不是很明顯。 因為包過濾防火墻工作在IP層和TCP層，所以處理包的速度要比下面的應(yīng)用代理型防火墻快，而且提供透明的服務(wù)，用戶不用改變客戶端程序，這是它的優(yōu)點。但因為只涉

8、及到TCP層，所以與代理服務(wù)型防火墻相比，它提供的安全級別較低；而且不支持用戶認證，包中只有來自哪臺機器的信息卻不包含來自哪個用戶的信息；也不提供日志功能。這些缺點我們在選購時一定要仔細權(quán)衡。,09網(wǎng)絡(luò)工程 第8小組 版權(quán)所有，翻版必究,應(yīng)用代理型防火墻,應(yīng)用代理型防火墻目前是最為主流的防火墻技術(shù)，也是應(yīng)用最廣的一種防火墻類型，特別是在一些中型或中型以上網(wǎng)絡(luò)中。它有非常全面的安全防護技術(shù)和措施，可以為企業(yè)網(wǎng)絡(luò)提供全方位的安全防護和管理，但價格比起包過濾型的要高許多。 應(yīng)用代理型防火墻所提供的安全級別高于包過濾型防火墻。它的一個明顯缺點就是其速度比包過濾慢。,09網(wǎng)絡(luò)工程 第8小組 版權(quán)所有，翻

9、版必究,狀態(tài)包過濾型防火墻,這一類型的防火墻的優(yōu)點就在于：傳輸速率和安全性得到進一步提高。 這種防火墻就屬于混合類型的防火墻，具有包過濾和應(yīng)用代理兩種技術(shù)的優(yōu)勢。 目前這種類型的防火墻尚處于發(fā)展之中，也只是在一些較大型企業(yè)，或者應(yīng)用較復(fù)雜的因特網(wǎng)應(yīng)用中采用，如Web服務(wù)器、數(shù)據(jù)庫應(yīng)用和電子商務(wù)應(yīng)用等。,09網(wǎng)絡(luò)工程 第8小組 版權(quán)所有，翻版必究,防火墻選購考慮要素,1、產(chǎn)品類型 2、LAN端口類型和數(shù)量 3、協(xié)議支持 4、訪問控制配置 5、自身的安全性 6、防御功能 7、連接性能 8、管理功能 9、記錄和報表功能 10、靈活的可拓展性和可升級性 11、協(xié)同工作能力里 12、品牌知名度,09網(wǎng)絡(luò)

10、工程 第8小組 版權(quán)所有，翻版必究,防火墻選型舉例,1、小型辦公和家用網(wǎng)絡(luò) 小型、家庭辦公和家用網(wǎng)絡(luò)（Small Office Home Office，SOHO）要管理的用戶和機器比較少，而且只需要訪問極少量的Internet服務(wù)，例如電子郵件、Web以及有時需要的流媒體。在這種情形下，簡單的數(shù)據(jù)包過濾防火墻就足夠了?，F(xiàn)在大部分SOHO路由器都具有防火墻、VPN、地址映射、端口映射、DHCP服務(wù)、自動撥號、支持虛擬服務(wù)器以及支持動態(tài)DNS等功能。 華為Quidway R1600，清華同方TFB-104R+、Linksys、Netgear、D-Link，3Com等公司出品的寬帶路由器，Watch

11、Guard的Firebox SOHO，Symantec的Norton Personal Firewall、NetScreen以及SonicWall SOHO完全適用于這種環(huán)境；Cisco和Check Point也提供小型辦公室版本的PIX和FireWall-1，不過價格要高一點。,09網(wǎng)絡(luò)工程 第8小組 版權(quán)所有，翻版必究,2、中小型企業(yè)網(wǎng)絡(luò) 中小型企業(yè)以及遠程辦公環(huán)境需要提供Web服務(wù)、電子郵件、流媒體以及文件傳輸和終端訪問。防火墻較多考慮高容量、高速度、低延遲、高可靠性以及防火墻本身的健壯性，并且開始支持雙機熱備份。 東軟NetEye、WatchGuard Firebox和SonicWall等產(chǎn)品比較適合這種場合。 3、大型網(wǎng)絡(luò) 大型企業(yè)、校園網(wǎng)和服務(wù)提供商面對的是復(fù)雜的大型環(huán)境，擁有眾多用戶并提供諸多復(fù)雜服務(wù)。有些服務(wù)看