ISA及防火墙调试优化介绍.ppt

* 一、衡量防火墙性能的五大指标 1、吞吐量 2、时延 3、丢包率 4、背靠背 5、并发连接数 二、吞吐量 1定义：在不丢包的情况下防火墙能够达到的最大速率。 2衡量标准：吞吐量是衡量防火墙性能的重要指标之一。吞吐量小就会造成网络瓶颈，影响网络的性能。 　　防火墙的吞吐量可以通过仪器（比如：Smartbits6000B测试仪）进行测试。仪器以最大速率发包，直至防火墙出现首次丢包。 三、时延 1定义：入口处输入桢最后一个比特到达至出口处输出桢的第一个比特输出所用的时间间隔。 2衡量标准：防火墙的时延能够体现它处理数据的速度。 　　防火墙的时延指标是应该重点考虑的，假如时延过大，那么通过的声音和视频就会出现延迟、颤抖和抖动的现象。它也可以通过仪器测出。 　　在应用环境中就是指：发出的数据包进入防火墙后，防火墙对其进行检测、转换、作日志等等动作后，再转发出造成延迟到达目的地的时间。 四：丢包率 1定义：在连续负载下，防火强设备由于资源不足应转发而未转发，被丢弃的桢的百分比； 2衡量标准：防火墙的丢包率对其稳定性、可靠性有很大影响。 丢包率同样可以测试。 五、背靠背 1、定义：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的桢，当出现第一个桢丢失时，发送的桢数。 s 2衡量指标：背对背的测试结果能体现出被测防火墙的缓冲容量。网络中经常有一些应用会发生大量的突发数据包（如：NFS、数据备份、路由更新等），而这样的数据包丢失可能会产生等多的数据包，类似于广播风暴；那么强大的数据缓冲能力可以减小这种突发风暴队网络造成的影响。体现出一个防火墙对突发数据的处理能力。 六、并发连接数 6定义：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数； 6衡量指标：并发连接数主要反映了防火墙建立和维持TCP连接的性能，同时也能通过并发连接数的大小体现防火墙对来自于客户端的TCP连接请求的响应能力。 * * * * * * 双层/多层异构防火墙 * ISA及防火墙调试优化 苏 亮 2009-04 提 纲 集团现状（重点：网络架构） 硬件防火墙相关技术及调试(重点：NAT、端口映射的概念及实现 ) ISA防火墙的调试（重点：3种客户端、优化） 集 团 现 状 集团：中兴us2010双机热备+ISA 二级公司：中兴us550+ISA 三级公司：中兴us120、juniper ssg-5或网神F3 防火墙（双机） Internet接入switch 核心三层交换机 SDH专线 路由器 路由器 九州通网络拓朴 三层交换机 应用服务器 终端 防火墙 2MB光纤 30MB光纤 10MB光纤 VPN 应用服务器 终端 集团总部 二级公司 三级公司 VPN VPN 应用服务器 终端 防火墙 VPN 双三层交换机冗余 汇聚层交换机 三层交换机 防火墙/VPN 外部服务器 DMZ区 说明： 一级骨干网络； 二级内部网络； 三级内部网络； 四级内部网络。 双防火墙冗余 双核心交换机冗余 汇聚层交换机 10MB光纤 ISA2004 硬件防火墙相关技术及调试 衡量硬件防火墙性能的指标 1、吞吐量 :在不丢包的情况下防火墙能够达到的最大速率。 2、最大并发连接数:指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数。 3、每秒新建连接数 4、最大策略数 5、VPN性能（3DES+SHA-1/AES性能） 6、VPN 通道数 7、接口(数量、类型) 8、附加功能(IP及端口映射、动态路由、双机、WEB过滤、IPS、DDOS、时间限制、BT限制、流量管理等） 9、日志功能 10、操作管理性 11、售后支持 防火墙调试步骤 1、规划网络结构 2、统计和规划上网需求:有那些所有人都允许上的网站、那些不允许访问的网站、有那些领导允许上网、有那些用户带限制条件的上网、那些服务要映射到外网、VPN连接需求 3、学习说明文档 4、设管理IP，添加默认路由和静态路由，并做测试 5、策略配置 6、硬件安装及相关设备的配合调试 7、排错及正式使用 8、日常维护 什么是NAT（网络地址转换） 网络地址转换(NAT,Network Address Translation)被广泛应用于各种类型Internet接入方式和备种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。 借助于NAT，私有(保留)地址的“内部”网络通过路由器发送数据包时，私有地址被