【正文】 下 一張 承載能力 將嚴重影響 防火墻 發(fā)揮出其對海量并發(fā)連接的處理能力 雖然很多 防火墻 都提供了 10/100/1000Mbps的網(wǎng)絡(luò)接口，但是，由于防火墻通常都部署在 Inter 出口處，在 客戶端 PC與目的資源中間的 路徑 上，總是存在著瓶頸鏈路 ——該瓶頸鏈路可能是 2Mbps專線，也可能是 512Kbps乃至 64Kbps的低速鏈路。那么，并發(fā)連接 數(shù)究竟是一個什么概念呢？它的大小會對用戶的日常使用產(chǎn)生 什么影響呢？要了解并發(fā)連接數(shù)，首先需要明白一個概念，那就是“會話”。在如今的網(wǎng)絡(luò)拓撲 中，已經(jīng)很難找到以前的 HUB式的共享介質(zhì)沖突域的網(wǎng)絡(luò)，絕大部分的網(wǎng)絡(luò)區(qū)域都已經(jīng)全面升級到交換式的網(wǎng)絡(luò)結(jié)構(gòu)。 5. 按防火墻性能分為 百兆級防火墻和千兆級防火墻兩類。當然這些安全性也只能說是相對的 。 下一張 （二）只有符合安全策略的數(shù)據(jù)流才能通過防火墻 防火墻最基本的功能是確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。典型的防火墻具有以下三個方面的基本特性： （一）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻 這是防火墻所處網(wǎng)絡(luò)位置特性，同時也是一個前提。因為防火最初的設(shè)計思想是對內(nèi)部網(wǎng)絡(luò)總是信任的，而對外部網(wǎng)絡(luò)卻總是不 信任的，所以最初的防火墻是只對外部進來的通信進行過濾，而對內(nèi)部網(wǎng)絡(luò)用戶發(fā)出的通信不作限制。從專業(yè)角度講，防火墻是位于兩個 (或多個 )網(wǎng)絡(luò)間，實施網(wǎng)絡(luò)之間訪問控制的一組組件 集合 防火墻 在網(wǎng)絡(luò)中經(jīng)常是以下圖所示的兩種圖標出現(xiàn)的。其實與防火墻一起起作用的就是“門”。所謂網(wǎng)絡(luò)邊界即是采用不同安全策略的 兩個網(wǎng)絡(luò)連接處，比如用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間連接、和其它業(yè)務(wù)往來單位的網(wǎng)絡(luò)連接、用戶內(nèi)部網(wǎng)絡(luò)不同部門之間的連接等。因此，從這個角 度上來說，防火墻是一個類似于橋接或路由器的、多端口的（網(wǎng)絡(luò)接口 =2）轉(zhuǎn)發(fā)設(shè)備，它跨接于多個分離的物理網(wǎng)段之間，并在報文轉(zhuǎn)發(fā)過程之中完成對 報文的審查工作。防火墻產(chǎn)品中，國外主流廠商為思科（ Cisco）、 CheckPoint、 NetScreen等，國內(nèi)主流廠商為東軟、天融信、聯(lián)想、方 正等，它們都提供不同級別的防火墻產(chǎn)品。 我們做一個形象的比喻：假如防火墻是一幢大樓的門鎖，那么 IDS就是這幢大樓里的監(jiān)視系統(tǒng)。Inter接入路由器之后的第一臺交換機上 連接表 像 路由器 的 路由表 存放路由信息一樣， 防火墻 里也有一個這樣的表，我們把它叫做并發(fā)連接表，是 防火墻用以存放并發(fā)連接信息的地方，它可在 防火墻系統(tǒng) 啟動后動態(tài)分配進程的內(nèi)存空間，其大 小也就是防火墻所能支持的最大并發(fā)連接數(shù)。高并發(fā)連接數(shù)的 防火墻 設(shè)備通常需要客戶投資更多的設(shè)備， 這是因為并發(fā)連接數(shù)的增大牽扯到 數(shù)據(jù)結(jié)構(gòu) 、 CPU、內(nèi)存、系統(tǒng)總線和網(wǎng)絡(luò)接口等多方面因素。 在利用并發(fā)連接數(shù)指標選擇 防火墻 產(chǎn)品的同時，產(chǎn)品的綜合性能、廠家的研發(fā)力量、資金實力、 企業(yè)的商業(yè)信譽和經(jīng)營風(fēng)險以及產(chǎn)品線的技術(shù)支持和 售后服務(wù)體系 等都應(yīng)當納入采購者的視野， 將多方面的因素結(jié)合起來進行綜合考慮。這也是測量防火墻性能的重要指標。 集中管理 :是防火墻的一種管理手段，通常利用一個界面來管理網(wǎng)絡(luò)中的多個防火墻。 防火墻除了以上所說的通過控制端口（ Console）進行初始配置外，也可以通過 tel和 Tftp（簡單文件傳輸協(xié)議）配置方式進行高級配置，但 Tel配置方式都是在命令方式中配置，難度較大，而 Tftp方式需要專用的 Tftp服務(wù)器軟件，但配置界面比較友好。 要 注意的是，用戶數(shù)和并發(fā)連接數(shù)是完全不同的兩個概念，并發(fā)連接數(shù)是指防火墻的最大會話數(shù)（或進程），每個用戶可以在一個時間里產(chǎn)生很多的連接，在購買產(chǎn)品時要區(qū)分這兩個概念。根據(jù)不同的需要，三種 NAT方案各有利弊。實際上，許多 SOHO遠程訪問設(shè)備支持基于 PPP的動態(tài) IP地址。 與之緊密相關(guān)的另一個概念就是 DdoS ,DdoS是英文“ distribution Denial of service”的縮寫，中文意思是“分布式拒絕服務(wù)攻擊”，這種攻擊方法使用與普通的拒絕服務(wù)攻擊同樣的方法，但是發(fā)起攻擊的源是多個。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng) 與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè) Web 服務(wù)器、 FTP服務(wù)器和論壇等。同時它提供了一個區(qū)域放置公共服務(wù)器，從而又能有效地避免一些互聯(lián)應(yīng)用需 要公開，而與內(nèi)部安全策略相矛盾的情況發(fā)生。 返回