下一张
防火墙的本义是指古代构筑和使用木制结构房屋的时候，为防止火灾的发生和蔓延，人们 将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称之为“防火 墙”。其实与 防火墙一起起作用的就是“门”。如果没有门，各房间的人如何沟通呢，这些房间的人又 如何进去呢？当火灾发生时，这些人又如何逃离现场呢？这个 门就相当于我们这里所讲的 防火墙的“安全策略”，所以在此我们所说的防火墙实际并不是一堵实心墙，而是带有一 些小孔的墙。这些小孔就是用来留给那些允许进 行的通信，在这些小孔中安装了过滤机制， 也就是上面所介绍的“单向导通性”。 我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义，它指的是隔离 在本地网络与外界网络之间的一道防御系统。防火可以使企业内部局域网 （LAN）网络与 Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。典型的防火 墙具有以下三个方面的基本特性： （一）内部网络和外部网络之间的所有网络数据流都必须经过防火墙 这是防火墙所处网络位置特性，同时也是一个前提。因为只有当防火墙是内、外部网络 之间通信的唯一通道，才可以全面、有效地保护企业网部网络不受侵害。 根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网络系统的边界， 属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的 两个网络连接 处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不 同部门之间的连接等。防火墙的目的就是在网络连接之间建立 一个安全控制点，通过允许、 拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。 典型的防火墙体系网络结构如下图所示。从图中可以看出，防火墙的一端连接企事业单 位内部的局域网，而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防 火墙。
返回
并发连接数
并发连接数的定义 并发连接数是指防火墙或代理服务器对其业务信息流的处理能力，是防火墙能够 同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟 踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。 连接数性能指标 并发连接数是衡量防火墙性能的一个重要指标。在市面上常见防火墙设 备的说明书中大家可以看 到，从低端设备的500、1000个并发连接，一直到高端设备的数万、数十万并发连接，存在着好几 个数量级的差异。那么，并发连接 数究竟是一个什么概念呢？它的大小会对用户的日常使用产生 什么影响呢？要了解并发连接数，首先需要明白一个概念，那就是“会话”。这个“会话”可不 是我们 平时的谈话，但是可以用平时的谈话来理解，两个人在谈话时，你一句，我一句，一问一 答，我们把它称为一次对话，或者叫会话。同样，在我们用电脑工作时，打 开的一个窗口或一个 Web页面，我们也可以把它叫做一个“会话”，扩展到一个局域网里面，所有用户要通过防火墙 上网，要打开很多个窗口或Web页面发（即会话），那么，这个防火墙，所能处理的最大会话数量， 就是“并发连接数”。 连接表 像路由器的路由表存放路由信息一样，防火墙里也有一个这样的表，我们把它叫做并发连接表，是 防火墙用以存放并发连接信息的地方，它可在防火墙系统启动后动态分配进程的内存空间，其大 小也就是防火墙所能支持的最大并发连接数。大的并发连接表可以增大防火墙最大并发连接数， 许防火墙支持更多的客户终端。尽管看上去，防火墙等类似产品的并发连接数似乎是越大越好。 但是与此同时，过大的并发连接表也会带来一定的负面影响： 设备影响 1.并发连接数的增大意味着对系统内存资源的消耗 以每个并发连接表项占用300B计算，1000个并发连接将占用300B×1000≈0.3Mb内存空 间，10000 个并发连接将占用3Mb内存空间，100000个并发连接将占用30Mb内存空间，而如果真的试图实现 1000000个并发连接的话那么， 这个产品就需要提供0.3Gb内存空间！ 2.并发连接数的增大应当充分考虑CPU的处理能力 CPU的主要任务是把网络上的流量从一个网段尽可能快速地转发到另外一个网段上，并且在转发过 程中对此流量按照一定的访问控制策略进行许可检查、流量统计和访问审计等操作，这都要求防 火墙对并发连接表中的相应表项进行不断的更新读写操作。如果不顾CPU的实际处理能力而贸然 增大系统的并发连接表，势必影响防火墙对连接请求的处理延迟，造成某些连接超时，让更多的 连接报文被重发，进而导致更多的连接超时，最后形成雪崩效应，致使整个防火墙系统崩溃。 下一张
4. 按防火墙的应用部署位置分为 边界防火墙、个人防火墙和混合防火墙三大类。 5. 按防火墙性能分为 百兆级防火墙和千兆级防火墙两类。
返回பைடு நூலகம்
IDS入侵防护系统
IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上 讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企 图、攻击 行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。
我们做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视 系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况 并发出警告。 不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流 量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应 当挂接在所有所关注流 量都必须流经的链路上。在这里，"所关注流量"指的是来自高危网络区域的访问流量和需 要进行统计、监视的网络报文。在如今的网络拓扑 中，已经很难找到以前的HUB式的共享 介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS 在交换式网络中的位置一般选 择在： （1）尽可能靠近攻击源 （2）尽可能靠近受保护资源 这些位置通常是： · 服务器区域的交换机上 · Internet接入路由器之后的第一台交换机上 · 重点保护网段的局域网交换机上 经典的入侵检测系统的部署方式如图所示。
返回
硬件参数 防火墙硬件参数是指设备使用的 处理器类型或芯片及主频 内存容量 闪存容量 网络接口 存储容量类型等数据
返回
防火墙类型
1. 从软、硬件形式上分为 软件防火墙和硬件防火墙以及芯片级防火墙。 2. 从防火墙技术分为 “包过滤型”和“应用代理型”两大类。
3. 从防火墙结构分为 单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
3.物理链路的实际承载能力将严重影响防火墙发挥出其对海量并发连接的处理能力 虽然很多防火墙都提供了10/100/1000Mbps的网络接口，但是，由于防火墙通常都部署在Internet 出口处，在客户端PC与目的资源中间的路径上，总是存在着瓶颈链路——该瓶颈链路可能是 2Mbps专线，也可能是512Kbps乃至64Kbps的低速链路。这些拥挤的低速链路根本无法承载太多的 并发连接，所以即便是防火墙能够支持大规模的并发访问连接，也无法发挥出其原有的性能 连接能力 我们应当根据网络环境的具体情况和个人不同的上网习惯来选择适当规模的并发连接表。因为不 同规模的网络会产生大小不同的并发连接，而用户习惯于何种网络服务以及如何使用这些服务， 同样也会产 生不同的并发连接需求。高并发连接数的防火墙设备通常需要客户投资更多的设备， 这是因为并发连接数的增大牵扯到数据结构、CPU、内存、系统总线和网络接口等多方面因素。如 何在合理的设备投资和实际上所能提供的性能之间寻找一个黄金平衡点将是用户选择产品的一个 重要任务。按照并发连接数来衡量方案的合理性是一个值得推荐的办法。 以每个用户需要10.5个并发连接来计算，一个中小型企业网络（1000个信息点以下，容纳4个C类 地址空间）大概需要10.5×1000=10500个并发连接，因此支持20000～30000最大并发连接的防火 墙设 备便可以满足需求；大型的企事业单位网络（比如信息点数在1000～10000之间）大概会需 要105000个并发连接，所以支持 100000～120000最大并发连接的防火墙就可以满足企业的实际需 要; 而对于大型电信运营商和ISP来说，电信级的千兆防火墙（支持120000～200000个并发连接） 则是恰当的选择。为较低需求而采用高端的防火墙设备将造成用户投资的浪费，同样为较高的客 户需求而采用低端设备将无法达到预计的性能指标。利用网络整体上的并发连接需求来选择适当 的防火墙产品可以帮助用户快速、准确的定位所需要的产品，避免对单纯某一参数“愈大愈好” 的盲目追求，缩短设计施工周期，节省企业的开支。从而为企业实施最合理的安全保护方案。 在利用并发连接数指标选择防火墙产品的同时，产品的综合性能、厂家的研发力量、资金实力、 企业的商业信誉和经营风险以及产品线的技术支持和售后服务体系等都应当纳入采购者的视野， 将多方面的因素结合起来进行综合考虑。切不可盲目的听信某些厂家广告宣传中的大并发连接的宣 传，要根据自己业务系统、企业规模、发展空间和自身实力等因素多方面考虑
下一张
（三）防火墙自身应具有非常强的抗攻击免疫力 这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘， 它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火 墙自身要具有 非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键，只有自 身具有完整信任关系的操作系统才可以谈论系统的安全性。其 次就是防火墙自身具有非常 低的服务功能，除了专门的防火墙嵌入系统外，再没有其它应用程序在防火墙上运行。当 然这些安全性也只能说是相对的。 目前国内的防火墙几乎被国外的品牌占据了一半的市场，国外品牌的优势主要是在技术和 知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻价格 上也更具有优势。 防火墙产品中，国外主流厂商为思科（Cisco）、CheckPoint、NetScreen等，国内主流厂商 为东软、天融信、联想、方 正等，它们都提供不同级别的防火墙产品。
下一张
（二）只有符合安全策略的数据流才能通过防火墙 防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一 条链路转发到另外的链路上去。从最早的防火墙模型开始谈起，原始的防火墙 是一台“双 穴主机”，即具备两个网络接口，同时拥有两个网络层地址。防火墙将网络上的流量通过 相应的网络接口接收上来，按照OSI协议栈的七层结构顺序上 传，在适当的协议层进行访 问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符 合通过条件的报文则予以阻断。因此，从这个角 度上来说，防火墙是一个类似于桥接或路 由器的、多端口的（网络接口>=2）转发设备，它跨接于多个分离的物理网段之间，并在报 文转发过程之中完成对 报文的审查工作。如下图：