防火墙参数详解
防火墙招标参数
防火墙招标参数引言概述:防火墙是网络安全的重要组成部份,它可以匡助保护网络免受恶意攻击和未经授权的访问。
在选择和招标防火墙时,准确的参数设定是至关重要的。
本文将介绍防火墙招标参数的重要性,并详细阐述四个方面的内容。
一、性能参数1.1 吞吐量:防火墙的吞吐量是指其能够处理的数据流量。
在招标过程中,需要根据网络的实际需求来确定所需的吞吐量。
如果网络流量较大,需要选择具有高吞吐量的防火墙,以确保网络的正常运行。
1.2 连接数:防火墙的连接数指的是它能够同时处理的连接数量。
对于大型企业或者组织来说,同时处理的连接数量可能非常庞大,因此需要选择具有高连接数的防火墙,以确保网络的稳定性。
1.3 延迟:防火墙的延迟指的是数据通过防火墙时所引入的时间延迟。
在选择防火墙时,需要考虑延迟对网络性能的影响。
通常情况下,延迟越低,网络性能越好。
二、安全功能参数2.1 防攻击能力:防火墙的防攻击能力是指其能够有效抵御各种网络攻击的能力。
在招标过程中,需要关注防火墙的防攻击功能是否完备,包括抗DDoS攻击、入侵检测和入侵谨防等功能。
2.2 访问控制:防火墙的访问控制功能是指其能够对网络流量进行精确的控制和过滤。
在招标时,需要关注防火墙的访问控制功能是否支持多种策略,如基于IP地址、端口号、协议等的访问控制。
2.3 VPN支持:虚拟私有网络(VPN)在现代网络中被广泛应用,它可以提供安全的远程访问和数据传输。
在招标过程中,需要选择支持各种VPN协议的防火墙,以满足企业或者组织的远程访问需求。
三、管理和监控参数3.1 管理接口:防火墙的管理接口是指用户进行配置和管理的接口。
在招标时,需要关注防火墙是否提供易用的管理接口,如Web界面、命令行界面等,以方便管理员进行配置和管理。
3.2 日志记录:防火墙的日志记录功能是指其能够记录网络流量和安全事件的详细信息。
在招标过程中,需要选择具有完备的日志记录功能的防火墙,以便及时发现和应对安全事件。
【电脑知识】:防火墙性能的几个重要参数指标是什么?
【电脑知识】:防火墙性能的几个重要参数指标是什么?今天小编为大家介绍衡量防火墙性能的几个重要参数指标,下面我们一起来看看吧!防火墙主要参考以下3种性能指标:整机吞吐量:指防火墙在状态检测机制下能够处理一定包长数据的最大转发能力,业界默认一般都采用大包衡量防火墙对报文的处理能力。
最大并发连接数:由于防火墙是针对连接进行处理报文的,并发连接数目是指的防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。
每秒新建连接数:指每秒钟可以通过防火墙建立起来的完整TCP/UDP连接。
该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度,如果该指标低会造成用户明显感觉上网速度慢,在用户量较大的情况下容易造成防火墙处理能力急剧下降,并且会造成防火墙对网络攻击防范能力差。
并发连接数并发连接数是指防火墙或代理服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。
并发连接数是衡量防火墙性能的一个重要指标。
在目前市面上常见防火墙设备的说明书中大家可以看到,从低端设备的500、1000个并发连接,一直到高端设备的数万、数十万并发连接,存在着好几个数量级的差异。
那么,并发连接数究竟是一个什么概念呢?它的大小会对用户的日常使用产生什么影响呢?要了解并发连接数,首先需要明白一个概念,那就是“会话”。
这个“会话”可不是我们平时的谈话,但是可以用平时的谈话来理解,两个人在谈话时,你一句,我一句,一问一答,我们把它称为一次对话,或者叫会话。
同样,在我们用电脑工作时,打开的一个窗口或一个Web页面,我们也可以把它叫做一个“会话”,扩展到一个局域网里面,所有用户要通过防火墙上网,要打开很多个窗口或Web页面发(即会话),那么,这个防火墙,所能处理的最大会话数量,就是“并发连接数”。
防火墙设备技术要求 一、防火墙参数要求: 1性能方面: 11网络吞吐量
防火墙设备技术要求一、防火墙参数要求:1. 性能方面:1.1网络吞吐量>10Gbps,应用层吞吐率>2Gbps,最大并发连接数>400万(性能要求真实可靠,必须在设备界面显示最大并发连接数不少于400万),每秒新建连接〉15万。
1.2万兆级防火墙,网络接口数量不少于12个接口,其中千兆光口不少于4个、千兆电口不少于6个、万兆光接口不少于2个,另外具有不少于2个通用扩展插槽。
1.3冗余双电源,支持HA、冗余或热备特性。
1.4具备外挂日志存储系统,用于存储防火墙日志文件等相关信息,另外支持不同品牌网络设备、服务器等符合标准协议的日志格式,日志存储数量无限制。
1.5内置硬盘,不小于600G,用于日志存储。
2. 功能方面(包含并不仅限于以下功能):2.1具有静态路由功能,包括基于接口、网关、下一跳IP地址的静态路由功能。
2.2具有OSPF动态路由功能,符合行业通用的OSPF协议标准。
2.3具有网络地址转换功能,支持一对一、多对一、多对多的网络地址转换功能。
2.4具有OSI网络模型三层至七层访问控制功能,可基于IP、端口号、应用特征、数据包大小、URL、文件格式、内容、时间段等进行安全访问控制和过滤。
2.5具有基于资源和对象的流量分配功能,包括基于单个IP、网段、IP组、访问源地址及目标地址、应用等的流量管理、分配。
2.6完善的日志及审计系统,防火墙内所有功能均具备相应的日志可供查看和审计。
2.7具有内置或第三方CA证书生成、下发及管理功能。
2.8具有身份认证、身份审计功能,支持用户ID与用户IP地址、MAC地址的绑定,支持基于CA证书、AD域、短信、微信等多种身份认证方式。
2.9具有入侵检测模块,支持入侵防护、DoS/DDoS防护,包含5年特征库升级服务。
2.10具有上网行为管理模块,支持上网行为检测、内容过滤等功能,包含5年应用特征库升级服务。
2.11具有病毒防护模块,可包含5年病毒库升级服务。
2.12具备基于WEB页面的管理、配置功能,可通过WEB页面实现所有功能的配置、管理和实时状态查看。
简述防火墙的主要技术指标
简述防火墙的主要技术指标
x
防火墙是一种安全设备,它可以保护网络免受外部攻击,以阻止未经授权的网络访问。
防火墙有很多不同的技术指标,下面介绍几项主要的技术指标:
一、性能指标:是指防火墙设备处理报文(包括过滤报文以及维护会话状态)的能力,以及处理相关的各项操作、功能等耗时的性能指标,常用性能如下:
1. 吞吐量:是指防火墙设备能够同时处理的报文数量;
2. 延迟:是指防火墙设备处理报文的时间间隔;
3. 启动时间:是指防火墙设备启动后,可以正常使用的时间;
4. 可用性:是指防火墙设备在正常运行条件下能够达到的可用性;
5. 内存开销:是指防火墙设备在处理报文时,每个报文所占用的内存开销。
二、安全指标:
1. 防火墙认证:防火墙认证是指在进行网络连接时,对用户的身份和权限进行认证;
2. 攻击防护:是指防火墙设备能够检测、阻止、并且记录网络中可疑的攻击,如拒绝服务攻击(DDoS)、TCP SYN Flood等;
3. 可靠性:是指防火墙设备在正常情况下的运行稳定性;
4. 审计功能:是指防火墙设备能够记录详细的网络访问日志,
以供审计之用;
5. 加密功能:是指防火墙设备能够支持的加密算法和密钥管理等功能。
防火墙技术参数及相关要求的有关说明(精)
安全操作系统
采用自主研发的安全操作系统,要求TOS一主一备双系统,主操作系统出现异常或由于升级失败而不能正常引导系统的情况下,可以手工选择使用备份操作系统。
安全集中管理
支持多种安全管理方式,同时支持WEB、GUI、SSH等多种安全管理,并且支持远程集中安全管理。
模块化设计
防火墙系统硬件、软件系统为模块化设计,可以提供VPN模块、防病毒模块等,能够按照用户的要求,选择适当的模块,灵活配置,以适应要求。
服务器负载均衡
支持服务器负载均衡,提供轮询、加权轮叫、最少连接、加权最少链接等多种负载均衡方式供用户选择
管理软件
防火墙管理
提供防火墙集中管理软件。
日志审计管理
提供专门的防火墙日志审计系统管理软件。
二、供货周期十五天,交货地点为陕西科技大学咸阳校区;
三、由厂家负责本项目所含设备的安装调试;并提供网络相关设备的系统集成和软件升级;
防火墙技术参数及相关要求的有关说明
一、产品技术参数:
指标
指标项
技术规格要求
千兆防火墙性能
网络吞吐量
2.5Gbps
最大并发连接数不少Βιβλιοθήκη 200万每秒最大建立连接数
不少于8万
MTBF
不少于60000小时
端口数量和扩展能力
4个10/100/1000BASE-T端口;6个千兆SFP插槽;2个10/100BASE-T端口;最多可支持12个端口
四、产品培训课程1名。
防火墙招标参数
防火墙招标参数引言概述:防火墙是网络安全的重要组成部分,用于保护网络免受未经授权的访问和恶意攻击。
在选择和采购防火墙时,准确的招标参数是至关重要的。
本文将详细介绍防火墙招标参数的内容和要求。
一、性能参数1.1 吞吐量:防火墙的吞吐量是指其处理数据包的能力,通常以每秒处理的数据包数量(pps)或每秒处理的数据量(Mbps)来衡量。
招标文件应明确规定所需的吞吐量,以满足网络流量的需求。
1.2 连接数:防火墙的连接数指的是其同时处理的连接数量。
招标文件应详细说明所需的最大连接数,以确保防火墙能够同时处理多个连接请求。
1.3 延迟:防火墙的延迟是指数据包在通过防火墙时所引入的额外延迟。
招标文件应要求防火墙的延迟尽量低,以确保网络传输的实时性和响应速度。
二、安全功能参数2.1 包过滤:防火墙应具备包过滤功能,能够根据源IP地址、目的IP地址、端口号等信息对数据包进行过滤和筛选。
招标文件应明确要求防火墙的包过滤功能能够满足网络安全需求。
2.2 应用层代理:防火墙的应用层代理功能能够深入分析网络数据包的内容,对应用层协议进行检测和过滤。
招标文件应要求防火墙具备应用层代理功能,以提高网络的安全性。
2.3 入侵检测与防御:防火墙应具备入侵检测与防御功能,能够对网络中的入侵行为进行检测和阻止。
招标文件应要求防火墙具备实时更新的入侵检测规则,以应对新型威胁。
三、可管理性参数3.1 远程管理:防火墙应支持远程管理功能,管理员可以通过网络对防火墙进行配置和管理。
招标文件应明确要求防火墙支持安全的远程管理方式,以提高管理效率。
3.2 日志记录:防火墙应具备完善的日志记录功能,能够记录网络流量、安全事件等信息。
招标文件应要求防火墙能够生成详细的日志报告,并支持日志的导出和分析。
3.3 异常报警:防火墙应具备异常报警功能,能够及时发现和报警网络安全事件。
招标文件应要求防火墙能够通过邮件、短信等方式发送报警信息,以便及时处理安全威胁。
防火墙招标参数
防火墙招标参数一、背景介绍随着互联网的快速发展,网络安全问题日益突出,各种网络攻击和恶意软件的威胁不断增加。
为了保护网络安全,防火墙成为了企业网络的重要组成部份。
为了提高网络安全水平,我公司决定进行防火墙的招标采购。
本文将详细介绍防火墙招标参数。
二、防火墙性能参数1. 吞吐量:防火墙的吞吐量是指单位时间内能够处理的数据流量。
要求吞吐量不低于每秒500Gbps,以满足高流量网络环境下的需求。
2. 连接数:防火墙的连接数是指同时支持的最大连接数量。
要求支持的最大连接数不低于100万个,以满足大规模企业网络的需求。
3. NAT性能:NAT(网络地址转换)是防火墙的一项重要功能,用于将私有IP地址转换为公网IP地址。
要求防火墙的NAT性能不低于每秒100万个,以确保网络通信的稳定性和效率。
4. VPN性能:VPN(虚拟专用网络)是企业间安全通信的重要手段。
要求防火墙支持的VPN隧道数量不低于2000个,并具备每秒500Mbps的VPN加密解密性能,以保障企业间通信的安全和速度。
三、防火墙安全功能1. 攻击防护:要求防火墙具备多种攻击防护功能,包括入侵检测与谨防系统(IDS/IPS)、反病毒、反垃圾邮件等,以有效应对各种网络攻击和恶意软件的威胁。
2. 应用控制:要求防火墙能够对各种应用进行精细控制,包括Web应用、P2P应用、即时通讯应用等,以防止非法应用对网络带宽的滥用。
3. 内容过滤:要求防火墙能够对网络流量进行内容过滤,包括网页过滤、文件过滤、关键词过滤等,以防止非法内容的传播和泄露。
4. 用户认证:要求防火墙支持多种用户认证方式,包括账号密码认证、证书认证等,以确保网络资源仅对合法用户开放。
四、防火墙管理功能1. 远程管理:要求防火墙支持远程管理,包括Web管理界面、命令行界面等,以方便管理员对防火墙进行配置和管理。
2. 日志记录:要求防火墙能够详细记录各种安全事件和网络活动,并支持日志的存储和导出,以便管理员进行安全审计和故障排查。
简述防火墙的主要技术指标
简述防火墙的主要技术指标
防火墙的主要技术指标
1、网络连接技术指标:
(1) 连接速度:指网络的总带宽能力,测量单位为 Mbps,指网络的总带宽能力,测量单位为 Mbps;
(2) 吞吐量:指单位时间内内网到外网的传输数据量,测量单位为Mbps。
2、安全性技术指标:
(1) 防护能力:指防火墙能否拦截网络攻击,防止病毒、木马等恶意程序传播,预防网络被攻击和数据泄露。
(2) 访问控制:指防火墙的访问控制能力,能够实现对网络访问的控制,以便实现可信的网络安全。
(3) 安全评估:指对系统安全性进行评估的能力,以便了解系统的安全性状况,并及时排查隐患。
(4) 安全审计:指能够从日志中提取系统安全事件的能力,以便及时发现安全问题,提出有效的解决办法。
3、可靠性技术指标:
(1) 可靠性:指防火墙本身可靠性,如软件和硬件的可靠性,能够抵抗外界的攻击,确保系统的正常运行。
(2) 负载能力:指防火墙在处理多个网络连接的能力,以保证高效的网络访问。
(3) 高可用性:指防火墙能够在故障时自动恢复,以保证长时间
的网络运行。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
下一张
防火墙的本义是指古代构筑和使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们 将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火 墙”。其实与 防火墙一起起作用的就是“门”。如果没有门,各房间的人如何沟通呢,这些房间的人又 如何进去呢?当火灾发生时,这些人又如何逃离现场呢?这个 门就相当于我们这里所讲的 防火墙的“安全策略”,所以在此我们所说的防火墙实际并不是一堵实心墙,而是带有一 些小孔的墙。这些小孔就是用来留给那些允许进 行的通信,在这些小孔中安装了过滤机制, 也就是上面所介绍的“单向导通性”。 我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离 在本地网络与外界网络之间的一道防御系统。防火可以使企业内部局域网 (LAN)网络与 Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。典型的防火 墙具有以下三个方面的基本特性: (一)内部网络和外部网络之间的所有网络数据流都必须经过防火墙 这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络 之间通信的唯一通道,才可以全面、有效地保护企业网部网络不受侵害。 根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界, 属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的 两个网络连接 处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不 同部门之间的连接等。防火墙的目的就是在网络连接之间建立 一个安全控制点,通过允许、 拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。 典型的防火墙体系网络结构如下图所示。从图中可以看出,防火墙的一端连接企事业单 位内部的局域网,而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防 火墙。
返回
并发连接数
并发连接数的定义 并发连接数是指防火墙或代理服务器对其业务信息流的处理能力,是防火墙能够 同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟 踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。 连接数性能指标 并发连接数是衡量防火墙性能的一个重要指标。在市面上常见防火墙设 备的说明书中大家可以看 到,从低端设备的500、1000个并发连接,一直到高端设备的数万、数十万并发连接,存在着好几 个数量级的差异。那么,并发连接 数究竟是一个什么概念呢?它的大小会对用户的日常使用产生 什么影响呢?要了解并发连接数,首先需要明白一个概念,那就是“会话”。这个“会话”可不 是我们 平时的谈话,但是可以用平时的谈话来理解,两个人在谈话时,你一句,我一句,一问一 答,我们把它称为一次对话,或者叫会话。同样,在我们用电脑工作时,打 开的一个窗口或一个 Web页面,我们也可以把它叫做一个“会话”,扩展到一个局域网里面,所有用户要通过防火墙 上网,要打开很多个窗口或Web页面发(即会话),那么,这个防火墙,所能处理的最大会话数量, 就是“并发连接数”。 连接表 像路由器的路由表存放路由信息一样,防火墙里也有一个这样的表,我们把它叫做并发连接表,是 防火墙用以存放并发连接信息的地方,它可在防火墙系统启动后动态分配进程的内存空间,其大 小也就是防火墙所能支持的最大并发连接数。大的并发连接表可以增大防火墙最大并发连接数, 许防火墙支持更多的客户终端。尽管看上去,防火墙等类似产品的并发连接数似乎是越大越好。 但是与此同时,过大的并发连接表也会带来一定的负面影响: 设备影响 1.并发连接数的增大意味着对系统内存资源的消耗 以每个并发连接表项占用300B计算,1000个并发连接将占用300B×1000≈0.3Mb内存空 间,10000 个并发连接将占用3Mb内存空间,100000个并发连接将占用30Mb内存空间,而如果真的试图实现 1000000个并发连接的话那么, 这个产品就需要提供0.3Gb内存空间! 2.并发连接数的增大应当充分考虑CPU的处理能力 CPU的主要任务是把网络上的流量从一个网段尽可能快速地转发到另外一个网段上,并且在转发过 程中对此流量按照一定的访问控制策略进行许可检查、流量统计和访问审计等操作,这都要求防 火墙对并发连接表中的相应表项进行不断的更新读写操作。如果不顾CPU的实际处理能力而贸然 增大系统的并发连接表,势必影响防火墙对连接请求的处理延迟,造成某些连接超时,让更多的 连接报文被重发,进而导致更多的连接超时,最后形成雪崩效应,致使整个防火墙系统崩溃。 下一张
4. 按防火墙的应用部署位置分为 边界防火墙、个人防火墙和混合防火墙三大类。 5. 按防火墙性能分为 百兆级防火墙和千兆级防火墙两类。
返回பைடு நூலகம்
IDS入侵防护系统
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上 讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企 图、攻击 行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
我们做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视 系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况 并发出警告。 不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流 量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应 当挂接在所有所关注流 量都必须流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需 要进行统计、监视的网络报文。在如今的网络拓扑 中,已经很难找到以前的HUB式的共享 介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS 在交换式网络中的位置一般选 择在: (1)尽可能靠近攻击源 (2)尽可能靠近受保护资源 这些位置通常是: · 服务器区域的交换机上 · Internet接入路由器之后的第一台交换机上 · 重点保护网段的局域网交换机上 经典的入侵检测系统的部署方式如图所示。
返回
硬件参数 防火墙硬件参数是指设备使用的 处理器类型或芯片及主频 内存容量 闪存容量 网络接口 存储容量类型等数据
返回
防火墙类型
1. 从软、硬件形式上分为 软件防火墙和硬件防火墙以及芯片级防火墙。 2. 从防火墙技术分为 “包过滤型”和“应用代理型”两大类。
3. 从防火墙结构分为 单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
3.物理链路的实际承载能力将严重影响防火墙发挥出其对海量并发连接的处理能力 虽然很多防火墙都提供了10/100/1000Mbps的网络接口,但是,由于防火墙通常都部署在Internet 出口处,在客户端PC与目的资源中间的路径上,总是存在着瓶颈链路——该瓶颈链路可能是 2Mbps专线,也可能是512Kbps乃至64Kbps的低速链路。这些拥挤的低速链路根本无法承载太多的 并发连接,所以即便是防火墙能够支持大规模的并发访问连接,也无法发挥出其原有的性能 连接能力 我们应当根据网络环境的具体情况和个人不同的上网习惯来选择适当规模的并发连接表。因为不 同规模的网络会产生大小不同的并发连接,而用户习惯于何种网络服务以及如何使用这些服务, 同样也会产 生不同的并发连接需求。高并发连接数的防火墙设备通常需要客户投资更多的设备, 这是因为并发连接数的增大牵扯到数据结构、CPU、内存、系统总线和网络接口等多方面因素。如 何在合理的设备投资和实际上所能提供的性能之间寻找一个黄金平衡点将是用户选择产品的一个 重要任务。按照并发连接数来衡量方案的合理性是一个值得推荐的办法。 以每个用户需要10.5个并发连接来计算,一个中小型企业网络(1000个信息点以下,容纳4个C类 地址空间)大概需要10.5×1000=10500个并发连接,因此支持20000~30000最大并发连接的防火 墙设 备便可以满足需求;大型的企事业单位网络(比如信息点数在1000~10000之间)大概会需 要105000个并发连接,所以支持 100000~120000最大并发连接的防火墙就可以满足企业的实际需 要; 而对于大型电信运营商和ISP来说,电信级的千兆防火墙(支持120000~200000个并发连接) 则是恰当的选择。为较低需求而采用高端的防火墙设备将造成用户投资的浪费,同样为较高的客 户需求而采用低端设备将无法达到预计的性能指标。利用网络整体上的并发连接需求来选择适当 的防火墙产品可以帮助用户快速、准确的定位所需要的产品,避免对单纯某一参数“愈大愈好” 的盲目追求,缩短设计施工周期,节省企业的开支。从而为企业实施最合理的安全保护方案。 在利用并发连接数指标选择防火墙产品的同时,产品的综合性能、厂家的研发力量、资金实力、 企业的商业信誉和经营风险以及产品线的技术支持和售后服务体系等都应当纳入采购者的视野, 将多方面的因素结合起来进行综合考虑。切不可盲目的听信某些厂家广告宣传中的大并发连接的宣 传,要根据自己业务系统、企业规模、发展空间和自身实力等因素多方面考虑
下一张
(三)防火墙自身应具有非常强的抗攻击免疫力 这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘, 它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火 墙自身要具有 非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键,只有自 身具有完整信任关系的操作系统才可以谈论系统的安全性。其 次就是防火墙自身具有非常 低的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行。当 然这些安全性也只能说是相对的。 目前国内的防火墙几乎被国外的品牌占据了一半的市场,国外品牌的优势主要是在技术和 知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻价格 上也更具有优势。 防火墙产品中,国外主流厂商为思科(Cisco)、CheckPoint、NetScreen等,国内主流厂商 为东软、天融信、联想、方 正等,它们都提供不同级别的防火墙产品。
下一张
(二)只有符合安全策略的数据流才能通过防火墙 防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一 条链路转发到另外的链路上去。从最早的防火墙模型开始谈起,原始的防火墙 是一台“双 穴主机”,即具备两个网络接口,同时拥有两个网络层地址。防火墙将网络上的流量通过 相应的网络接口接收上来,按照OSI协议栈的七层结构顺序上 传,在适当的协议层进行访 问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符 合通过条件的报文则予以阻断。因此,从这个角 度上来说,防火墙是一个类似于桥接或路 由器的、多端口的(网络接口>=2)转发设备,它跨接于多个分离的物理网段之间,并在报 文转发过程之中完成对 报文的审查工作。如下图: