文章摘要：   防火墻簡述：   &nbs…

  防火墻簡述：

      防火墻是近幾年發(fā)展起來的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)措施，也是目前使用最廣泛的一種網(wǎng)絡(luò)安全防護(hù)技術(shù)。防火墻是一個(gè)或一組實(shí)施訪問控制策略的系統(tǒng)，它可以是軟件、硬件或軟硬件的結(jié)合，其目的是提供對(duì)網(wǎng)絡(luò)的安全保護(hù)。防火墻通常位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，可以監(jiān)視、控制和更改在內(nèi)部和外部網(wǎng)絡(luò)之間流動(dòng)的網(wǎng)絡(luò)通信；控制外部計(jì)算機(jī)可以訪問內(nèi)部受保護(hù)的環(huán)境，并確定訪問的時(shí)間、權(quán)限，服務(wù)類型和質(zhì)量等，檢查內(nèi)部流傳的信息，避免保密信息流出，達(dá)到抵擋外部入侵和防止內(nèi)部信息泄密的目的。

 防火墻功能、性能、可管理性分析：

      功能和性能一直是客戶評(píng)價(jià)防火墻的主要方面，尤其是性能由于可量化，更是對(duì)比的重點(diǎn)，但真正搞明白這兩個(gè)問題卻不容易。功能：2～7層訪問控制功能，尤其是應(yīng)用層深度過濾，應(yīng)能與下列功能任意組合使用:地址映射、端口映射、VLAN Trunk支持、用戶認(rèn)證、動(dòng)態(tài)包過濾、流量控制等。
      安全功能，重點(diǎn)是抗Synflood。防火墻作為網(wǎng)絡(luò)的單一通道，要保證受保護(hù)網(wǎng)絡(luò)的安全，需要重點(diǎn)考察安全防護(hù)功能能否在過濾攻擊的同時(shí)保證正常訪問，是否對(duì)偽造源地址攻擊和真實(shí)源地址攻擊同時(shí)有效，能否保護(hù)服務(wù)器免受沖擊。該功能應(yīng)能和地址映射、端口映射、VLAN Trunk支持、用戶認(rèn)證、動(dòng)態(tài)包過濾、流量控制等同時(shí)或任意組合使用。實(shí)用性能：性能測試一般包括6個(gè)主要方面:吞吐量、延遲、丟包率、背靠背、并發(fā)連接數(shù)、新建連接速率。實(shí)用性能即考察在接近用戶真實(shí)使用情況下的性能。
新建連接速率，由于網(wǎng)絡(luò)應(yīng)用具有波動(dòng)性大,即不同時(shí)間訪問量差異很大的特點(diǎn)，要求防火墻也能適應(yīng)這種情況，相應(yīng)的考量指標(biāo)即新建連接速率?？紤]到用戶網(wǎng)絡(luò)和應(yīng)用的復(fù)雜性，還需要打開常用功能，例如:包過濾、內(nèi)容過濾、抗攻擊，在這種情況下測試新建連接速率。

      好的可管理性是安全的關(guān)鍵
      因?yàn)闊o法要求每個(gè)網(wǎng)絡(luò)管理員都是網(wǎng)絡(luò)安全專家，所以管理是網(wǎng)絡(luò)安全的關(guān)鍵。除去權(quán)限管理、通信加密外，還需要重點(diǎn)考察單機(jī)管理方便性和集中管理這兩個(gè)方面。
      就單機(jī)管理方便性來說，防火墻應(yīng)能提供多種管理方式，供管理員在不同場合使用，例如:串口命令行方式適合水平較高的管理員對(duì)防火墻進(jìn)行全面管理;SSH方式適合遠(yuǎn)程維護(hù)管理;Web方式適合遠(yuǎn)程配置;GUI方式適合遠(yuǎn)程配置和監(jiān)控。其中，Web方式因?yàn)椴挥冒惭b客戶端軟件比較方便靈活;GUI安裝比較麻煩，但靈活性較強(qiáng)。