防火墙的参数与防火墙的选择标准.docxVIP

防火墙的参数与防火墙的选择标准 ? ? ? ?网络 防火墙与路由器非常类似，是一台特殊的计算机，同样有自己的硬件系统和软件系统，和一般计算机相比，只是没有独立的输入/输出设备。防火墙的主要性能参数是指影响网络防火墙包处理能力的参数。在选择网络防火墙时，应主要考虑网络的规模、网络的架构、网络的安全需求、在网络中的位置，以及网络端口的类型等要素，选择性能、功能、结构、接口、价格都最为适宜的网络安全产品。1、购买防火墙的参数参考： （1）、系统性能 ? ? ? ?防火墙性能参数主要是指网络防火墙处理器的类型及主频、内存容量、闪存容量、存储容量和类型等数据。一般而言，高端防火墙的硬件性能优越，处理器应当采用ASIV架构或NP架构，并拥有足够大的内存。 （2）、接口 ? ? ? 接口数量关系到网络防火墙能够支持的连接方式，通常情况下，网络防火墙至少应当提供3个接口，分别用于连接内网、外网和DMZ区域。如果能够提供更多数量的端口，则还可以借助虚拟防火墙实现多路网络连接。而接口速率则关系到网络防火墙所能提供的最高传输速率，为了避免可能的网络瓶颈，防火墙的接口速率应当为100Mbps或1000Mbps。 （3）、并发连接数 ? ? ? 并发连接数是衡量防火墙性能的一个重要指标，是指防火墙或代理服务器对其业务信息流的处理能力，是防火墙能够同时处理的点对点连接的最大数目，反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，该参数值直接影响到防火墙所能支持的最大信息点数。 ? ? ? 提示：低端防火墙的并发连接数都在1000个左右。而高端设备则可以达到数万甚至数10万并发连接。 （4）、吞吐量 ? ? ? 防火墙的主要功能就是对每个网络中传输的每个数据包进行过滤，因此需要消耗大量的资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。 ? ? ? 防火墙作为内外网之间的唯一数据通道，如果吞吐量太小，就会成为网络瓶颈，给整个网络的传输效率带来负面影响。因此，考察防火墙的吞吐能力有助于更好地评价其性能表现。这也是测量防火墙性能的重要指标。 （5）、安全过滤带宽 ? ? ? 安全过滤带宽是指防火墙在某种加密算法标准下的整体过滤功能，如DES(56位)算法或3DES(168位)算法等。一般来说，防火墙总的吞吐量越大，其对应的安全过滤带宽越高。 （6）、支持用户数 ? ? ? 防火墙的用户数限制分为固定限制用户数和无用户数限制两种。前者如SOHO型防火墙一般支持几十到几百个用户不等，而无用户数限制大多用于大的部门或公司。这里的用户数量和前面介绍的并发连接数并不相同，并发连接数是指防火墙的最大会话数(或进程)，而每个用户可以在一个时间里产生很多的连接。 2、网络防火端的选择策略 ? ? ?针对越来越多的蠕虫、病毒、间谍软件、垃圾邮件、DoS/DDoS等混合威胁及黑客攻击，不仅需要有效检测到各种类型的攻击，更重要的是降低攻击的影响，从而保证业务系统的连续性和可用性。 ? 一个完善的网路入侵防御系统应该具备以下特征： ? ? （1）、提供针对各类攻击的检测和防御功能，同时提供丰富的访问控制能力。 ? ? （2）、准确识别各种网络流量，降低漏报和误报率，避免影响正常的业务通信。 ? ? （3）、满足高性能的要求，提供强大的分析和处理能力，保证正常网络通信的质量。 ? ? （4）、具备良好的可靠性，提供硬件BYPASS或HA等可靠性保障措施。 ? ? （5）、提供灵活的部署方式，支持在线模式和旁路模式的部署，第一时间把攻击阻断在企业网络之外，同时也支持旁路模式部署，用于攻击检测，适合不同用户需要。 ? ? （6）、支持分级部署、集中管理，满足不同规模网络的使用和管理需求。