【正文】 下 一張 承載能力 將嚴重影響 防火墻 發(fā)揮出其對海量并發(fā)連接的處理能力 雖然很多 防火墻 都提供了 10/100/1000Mbps的網絡接口，但是，由于防火墻通常都部署在 Inter 出口處，在 客戶端 PC與目的資源中間的 路徑 上，總是存在著瓶頸鏈路 ——該瓶頸鏈路可能是 2Mbps專線，也可能是 512Kbps乃至 64Kbps的低速鏈路。那么，并發(fā)連接 數(shù)究竟是一個什么概念呢？它的大小會對用戶的日常使用產生 什么影響呢？要了解并發(fā)連接數(shù)，首先需要明白一個概念，那就是“會話”。在如今的網絡拓撲 中，已經很難找到以前的 HUB式的共享介質沖突域的網絡，絕大部分的網絡區(qū)域都已經全面升級到交換式的網絡結構。 5. 按防火墻性能分為 百兆級防火墻和千兆級防火墻兩類。當然這些安全性也只能說是相對的 。 下一張 （二）只有符合安全策略的數(shù)據流才能通過防火墻 防火墻最基本的功能是確保網絡流量的合法性，并在此前提下將網絡的流量快速的從一條鏈路轉發(fā)到另外的鏈路上去。典型的防火墻具有以下三個方面的基本特性： （一）內部網絡和外部網絡之間的所有網絡數(shù)據流都必須經過防火墻 這是防火墻所處網絡位置特性，同時也是一個前提。因為防火最初的設計思想是對內部網絡總是信任的，而對外部網絡卻總是不 信任的，所以最初的防火墻是只對外部進來的通信進行過濾，而對內部網絡用戶發(fā)出的通信不作限制。從專業(yè)角度講，防火墻是位于兩個 (或多個 )網絡間，實施網絡之間訪問控制的一組組件 集合 防火墻 在網絡中經常是以下圖所示的兩種圖標出現(xiàn)的。其實與防火墻一起起作用的就是“門”。所謂網絡邊界即是采用不同安全策略的 兩個網絡連接處，比如用戶網絡和互聯(lián)網之間連接、和其它業(yè)務往來單位的網絡連接、用戶內部網絡不同部門之間的連接等。因此，從這個角 度上來說，防火墻是一個類似于橋接或路由器的、多端口的（網絡接口 =2）轉發(fā)設備，它跨接于多個分離的物理網段之間，并在報文轉發(fā)過程之中完成對 報文的審查工作。防火墻產品中，國外主流廠商為思科（ Cisco）、 CheckPoint、 NetScreen等，國內主流廠商為東軟、天融信、聯(lián)想、方 正等，它們都提供不同級別的防火墻產品。 我們做一個形象的比喻：假如防火墻是一幢大樓的門鎖，那么 IDS就是這幢大樓里的監(jiān)視系統(tǒng)。Inter接入路由器之后的第一臺交換機上 連接表 像 路由器 的 路由表 存放路由信息一樣， 防火墻 里也有一個這樣的表，我們把它叫做并發(fā)連接表，是 防火墻用以存放并發(fā)連接信息的地方，它可在 防火墻系統(tǒng) 啟動后動態(tài)分配進程的內存空間，其大 小也就是防火墻所能支持的最大并發(fā)連接數(shù)。高并發(fā)連接數(shù)的 防火墻 設備通常需要客戶投資更多的設備， 這是因為并發(fā)連接數(shù)的增大牽扯到 數(shù)據結構 、 CPU、內存、系統(tǒng)總線和網絡接口等多方面因素。 在利用并發(fā)連接數(shù)指標選擇 防火墻 產品的同時，產品的綜合性能、廠家的研發(fā)力量、資金實力、 企業(yè)的商業(yè)信譽和經營風險以及產品線的技術支持和 售后服務體系 等都應當納入采購者的視野， 將多方面的因素結合起來進行綜合考慮。這也是測量防火墻性能的重要指標。 集中管理 :是防火墻的一種管理手段，通常利用一個界面來管理網絡中的多個防火墻。 防火墻除了以上所說的通過控制端口（ Console）進行初始配置外，也可以通過 tel和 Tftp（簡單文件傳輸協(xié)議）配置方式進行高級配置，但 Tel配置方式都是在命令方式中配置，難度較大，而 Tftp方式需要專用的 Tftp服務器軟件，但配置界面比較友好。 要 注意的是，用戶數(shù)和并發(fā)連接數(shù)是完全不同的兩個概念，并發(fā)連接數(shù)是指防火墻的最大會話數(shù)（或進程），每個用戶可以在一個時間里產生很多的連接，在購買產品時要區(qū)分這兩個概念。根據不同的需要，三種 NAT方案各有利弊。實際上，許多 SOHO遠程訪問設備支持基于 PPP的動態(tài) IP地址。 與之緊密相關的另一個概念就是 DdoS ,DdoS是英文“ distribution Denial of service”的縮寫，中文意思是“分布式拒絕服務攻擊”，這種攻擊方法使用與普通的拒絕服務攻擊同樣的方法，但是發(fā)起攻擊的源是多個。它是為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題，而設立的一個非安全系統(tǒng) 與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內部網絡和外部網絡之間的小網絡區(qū)域內，在這個小網絡區(qū)域內可以放置一些必須公開的服務器設施，如企業(yè) Web 服務器、 FTP服務器和論壇等。同時它提供了一個區(qū)域放置公共服務器，從而又能有效地避免一些互聯(lián)應用需 要公開，而與內部安全策略相矛盾的情況發(fā)生。 返回