文(wén)章摘要：   防火牆簡述：   &nbs…

  防火牆簡述：

      防火牆是近幾年發展起來的一種保護計算機網絡安(ān)全的技(jì )術措施，也是目前使用(yòng)最廣泛的一種網絡安(ān)全防護技(jì )術。防火牆是一個或一組實施訪問控制策略的系統，它可(kě)以是軟件、硬件或軟硬件的結合，其目的是提供對網絡的安(ān)全保護。防火牆通常位于内部網絡和外部網絡之間，可(kě)以監視、控制和更改在内部和外部網絡之間流動的網絡通信；控制外部計算機可(kě)以訪問内部受保護的環境，并确定訪問的時間、權限，服務(wù)類型和質(zhì)量等，檢查内部流傳的信息，避免保密信息流出，達到抵擋外部入侵和防止内部信息洩密的目的。

 防火牆功能(néng)、性能(néng)、可(kě)管理(lǐ)性分(fēn)析：

      功能(néng)和性能(néng)一直是客戶評價防火牆的主要方面，尤其是性能(néng)由于可(kě)量化，更是對比的重點，但真正搞明白這兩個問題卻不容易。功能(néng)：2～7層訪問控制功能(néng)，尤其是應用(yòng)層深度過濾，應能(néng)與下列功能(néng)任意組合使用(yòng):地址映射、端口映射、VLAN Trunk支持、用(yòng)戶認證、動态包過濾、流量控制等。
      安(ān)全功能(néng)，重點是抗Synflood。防火牆作(zuò)為(wèi)網絡的單一通道，要保證受保護網絡的安(ān)全，需要重點考察安(ān)全防護功能(néng)能(néng)否在過濾攻擊的同時保證正常訪問，是否對僞造源地址攻擊和真實源地址攻擊同時有(yǒu)效，能(néng)否保護服務(wù)器免受沖擊。該功能(néng)應能(néng)和地址映射、端口映射、VLAN Trunk支持、用(yòng)戶認證、動态包過濾、流量控制等同時或任意組合使用(yòng)。實用(yòng)性能(néng)：性能(néng)測試一般包括6個主要方面:吞吐量、延遲、丢包率、背靠背、并發連接數、新(xīn)建連接速率。實用(yòng)性能(néng)即考察在接近用(yòng)戶真實使用(yòng)情況下的性能(néng)。
新(xīn)建連接速率，由于網絡應用(yòng)具(jù)有(yǒu)波動性大,即不同時間訪問量差異很(hěn)大的特點，要求防火牆也能(néng)适應這種情況，相應的考量指标即新(xīn)建連接速率。考慮到用(yòng)戶網絡和應用(yòng)的複雜性，還需要打開常用(yòng)功能(néng)，例如:包過濾、内容過濾、抗攻擊，在這種情況下測試新(xīn)建連接速率。

      好的可(kě)管理(lǐ)性是安(ān)全的關鍵
      因為(wèi)無法要求每個網絡管理(lǐ)員都是網絡安(ān)全專家，所以管理(lǐ)是網絡安(ān)全的關鍵。除去權限管理(lǐ)、通信加密外，還需要重點考察單機管理(lǐ)方便性和集中(zhōng)管理(lǐ)這兩個方面。
      就單機管理(lǐ)方便性來說，防火牆應能(néng)提供多(duō)種管理(lǐ)方式，供管理(lǐ)員在不同場合使用(yòng)，例如:串口命令行方式适合水平較高的管理(lǐ)員對防火牆進行全面管理(lǐ);SSH方式适合遠(yuǎn)程維護管理(lǐ);Web方式适合遠(yuǎn)程配置;GUI方式适合遠(yuǎn)程配置和監控。其中(zhōng)，Web方式因為(wèi)不用(yòng)安(ān)裝(zhuāng)客戶端軟件比較方便靈活;GUI安(ān)裝(zhuāng)比較麻煩，但靈活性較強。