防火墙选型重要参考.docx

防火墙选型参考大多数人也许不明白，普通会话数会有几千到几十万不等，那么是不是内网中的机器数量跟会话数有直接联系呢？想到这里，其实答案马上就能出来了。举例说明，一个并发会话数代表一台机器打开的一个窗口或者一个页面。那么内网中一台机器同时开很多页面，并且聊天工具或者网络游戏同时进行着，那么这一台机器占用的会话数就会有几十到几百不等。内网中同时在线的机器数量越多，需要的会话数就越多。所以，根据防火墙的型号不同，型号越大，并发会话数就会越多。 在一些防火墙中还有另外一个概念，那就是每秒新建会话数。假设在第一时间，已经占用了防火墙的全部会话数，在下一秒，就要等待防火墙处理完之前不需要的会话数才能让需要的人继续使用剩余的会话数。那么这个每秒新增会话数就很重要了。如果每秒新增会话数不够的话，剩下的人就要等待有新的会话数出来。那么就会体现为上网速度很慢。了解了这一情况，选购者就不会承担这个防火墙导致网速变慢的黑锅了。 性能 防火墙的性能对于一个防火墙来说是至关重要的，它决定了每秒钟可能通过防火墙的最大数据流量，以bps为单位。从几十兆到几百兆不等，千兆防火墙还会达到几个G的性能。关于性能的比较，参看防火墙的彩页介绍就可以比较的出来，比较明了。 工作模式 目前市面上的防火墙都会具备三种不同的工作模式，路由模式、NAT模式还有透明模式。 透明模式时，防火墙过滤通过防火墙的封包，而不会修改数据包包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分。此时防火墙的作用更像是Layer 2(第2层)交换机或桥接器。在透明模式下，接口的IP地址被设置为0.0.0.0，防火墙对于用户来说是可视或透明的。 处于网络地址转换(NAT)模式下时，防火墙的作用与Layer 3(第3层)交换机(或路由器)相似，将绑定到外网区段的IP封包包头中的两个组件进行转换：其源IP地址和源端口号。防火墙用目的地区段接口的IP地址替换发送封包的主机的源IP地址。另外，它用另一个防火墙生成的任意端口号替换源端口号。 路由模式时，防火墙在不同区段间转发信息流时不执行NAT；即，当信息流穿过防火墙时，IP封包包头中的源地址和端口号保持不变。与NAT不同，不需要为了允许入站会话到达主机而建立路由模式接口的映射和虚拟IP地址。与透明模式不同，内网区段中的接口和外网区段中的接口在不同的子网中。 管理界面 管理一个防火墙的方法一般来说是两种：图形化界面(GUI)和命令行界面(CLI)。 图形界面最常见的方式是通过web方式(包括http和https)和java等程序编写的界面进行远程管理；命令行界面一般是通过console口或者telnet/ssh进行远程管理。 接口 防火墙的接口也分为以太网口(10M)、快速以太网口(10/100M)、千兆以太网口(光纤接口)三种类型。防火墙一般都预先设有具有内网口、外网口和DMZ区接口和默认规则，有的防火墙也预留了其它接口用于用户自定义其它的独立保护区域。防火墙上的RS232 Console口主要用于初始化防火墙时的进行基本的配置或用于系统维护。另外有的防火墙还有可能提供PCMCIA插槽、IDS镜像口、高可用性接口(HA)等，这些是根据防火墙的功能来决定的。 策略设置 防火墙提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点，因此可以筛选并引导所有通过执行策略组列表(区段间策略、内部区段策略和全局策略)产生的信息流。 策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全区段流到另一个安全区段的信息流。可以决定哪些用户和信息能进入和离开，以及它们进入和离开的时间和地点。 简单的说，防火墙应该具有灵活的策略设置，针对源和目的IP地址、网络服务以及时间几个方面实施不同的安全策略。 内容过滤 面对当前互联网上的各种有害信息，有的防火墙还增加了URL阻断、关键词检查、Java Apple、ActiveX和恶意脚本过滤等。 入侵检测 黑客普通攻击的实时检测。实时防护来自IP Source Routing、IP Spoofing、SYN flood、ICMP flood、UDP flood、Address sweep、Tear drop attack、Winnuke attack、Port Scan Attack、Ping of Death、Land attack、拒绝服务和许多其他的攻击。并且在检测到有攻击行为时能通过电子邮件或其它方式通知系统管理员。 用户认证 完善的用户认证机制，可以指定内部用户必须经过认证，方可访问不可信网络。防火墙可以限定只有授权用户可以通过防火墙进行一些有限制的活动，可以使用内建用户数据库、外部Raduis数据库或IP/MAC绑定等多数认证方式。 对于内部网络的安全又多了一层保障。 虚拟专用网VPN 在网络之间或网络与客户端之间进行安全通讯。可以支持的最大VPN数目，支持的加密方式(手工密钥、IKE、PKI、DES、3DES和AES加密等)，是否支持完全的正反向加密，是否有冗余的VPN网关。 一般异地办公的网络都会注意这点。尤其是加密方式。不过硬的加密方式会导致黑客窃取机密文件等。所以加密的方式越高级越好。 日志/监控 防火墙对受到的攻击和通过防火墙的请求应具有完备的日志功能，包括安全日志、时间日志和传输日志。最好可以通过同步分析软件同步到指定主机上，实现对日志的详尽审计。