【正文】 同時(shí)它提供了一個(gè)區(qū)域放置公共服務(wù)器，從而又能有效地避免一些互聯(lián)應(yīng)用需 要公開，而與內(nèi)部安全策略相矛盾的情況發(fā)生。 與之緊密相關(guān)的另一個(gè)概念就是 DdoS ,DdoS是英文“ distribution Denial of service”的縮寫，中文意思是“分布式拒絕服務(wù)攻擊”，這種攻擊方法使用與普通的拒絕服務(wù)攻擊同樣的方法，但是發(fā)起攻擊的源是多個(gè)。根據(jù)不同的需要，三種 NAT方案各有利弊。 防火墻除了以上所說的通過控制端口（ Console）進(jìn)行初始配置外，也可以通過 tel和 Tftp（簡單文件傳輸協(xié)議）配置方式進(jìn)行高級配置，但 Tel配置方式都是在命令方式中配置，難度較大，而 Tftp方式需要專用的 Tftp服務(wù)器軟件，但配置界面比較友好。這也是測量防火墻性能的重要指標(biāo)。高并發(fā)連接數(shù)的 防火墻 設(shè)備通常需要客戶投資更多的設(shè)備， 這是因?yàn)椴l(fā)連接數(shù)的增大牽扯到 數(shù)據(jù)結(jié)構(gòu) 、 CPU、內(nèi)存、系統(tǒng)總線和網(wǎng)絡(luò)接口等多方面因素。Inter接入路由器之后的第一臺交換機(jī)上 防火墻產(chǎn)品中，國外主流廠商為思科（ Cisco）、 CheckPoint、 NetScreen等，國內(nèi)主流廠商為東軟、天融信、聯(lián)想、方 正等，它們都提供不同級別的防火墻產(chǎn)品。所謂網(wǎng)絡(luò)邊界即是采用不同安全策略的 兩個(gè)網(wǎng)絡(luò)連接處，比如用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間連接、和其它業(yè)務(wù)往來單位的網(wǎng)絡(luò)連接、用戶內(nèi)部網(wǎng)絡(luò)不同部門之間的連接等。從專業(yè)角度講，防火墻是位于兩個(gè) (或多個(gè) )網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)之間訪問控制的一組組件 集合 防火墻 在網(wǎng)絡(luò)中經(jīng)常是以下圖所示的兩種圖標(biāo)出現(xiàn)的。典型的防火墻具有以下三個(gè)方面的基本特性： （一）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻 這是防火墻所處網(wǎng)絡(luò)位置特性，同時(shí)也是一個(gè)前提。當(dāng)然這些安全性也只能說是相對的 。在如今的網(wǎng)絡(luò)拓?fù)? 中，已經(jīng)很難找到以前的 HUB式的共享介質(zhì)沖突域的網(wǎng)絡(luò)，絕大部分的網(wǎng)絡(luò)區(qū)域都已經(jīng)全面升級到交換式的網(wǎng)絡(luò)結(jié)構(gòu)。 下 一張 承載能力 將嚴(yán)重影響 防火墻 發(fā)揮出其對海量并發(fā)連接的處理能力 雖然很多 防火墻 都提供了 10/100/1000Mbps的網(wǎng)絡(luò)接口，但是，由于防火墻通常都部署在 Inter 出口處，在 客戶端 PC與目的資源中間的 路徑 上，總是存在著瓶頸鏈路 ——該瓶頸鏈路可能是 2Mbps專線，也可能是 512Kbps乃至 64Kbps的低速鏈路。 吞 吐量和報(bào)文轉(zhuǎn)發(fā)率是關(guān)系防火墻應(yīng)用的主要指標(biāo)，一般采用 FDT(Full Duplex Throughput)來衡量，指 64字節(jié)數(shù)據(jù)包的全雙工吞吐量，該指標(biāo)既包括吞吐量指標(biāo)也涵 蓋了報(bào)文轉(zhuǎn)發(fā)率指標(biāo)。目前可獲取的很多管理應(yīng)用程序通?？稍诖? 多數(shù)當(dāng)前使用的操作系統(tǒng)下運(yùn)行，如 、 Windows95 、 Windows NT和不同版本 UNIX的等。 其中靜態(tài) NAT設(shè)置起來最為簡單和最容易實(shí)現(xiàn)的一種，內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。如果 DoS攻擊 來源于單點(diǎn)進(jìn)攻，那么可以采用簡單的交通控制系統(tǒng)來探測到電腦黑客。 DMZ通常是一個(gè)過濾的子網(wǎng)， DMZ在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)造了一個(gè)安全地帶。內(nèi)部防火墻管理 DMZ對于內(nèi)部網(wǎng)絡(luò)的訪問。主控端命令代理對指定的目標(biāo)發(fā)起拒絕服務(wù)攻擊。 網(wǎng)絡(luò)地址端口轉(zhuǎn)換 NAPT（ Network Address Port Translation）是人們比較熟悉的一種轉(zhuǎn)換方式。它可以通過特殊的加密的通訊協(xié)議 在連接在 Inter上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè) 光纜之類的物理線路。純硬件防火 墻，由于采用硬件進(jìn)行運(yùn)算，因此吞吐量可以達(dá) 到線性 9095M,是真正的 100M防火墻。 以每個(gè)用戶需要 ，一個(gè)中小型企業(yè)網(wǎng)絡(luò)（ 1000個(gè)信息點(diǎn)以下，容納 4個(gè) C類 地址空間）大概需要 1000=10500個(gè)并發(fā)連接，因此支持 20220～ 30000最大并發(fā)連接的防火 墻設(shè) 備便可以滿足需求；大型的企事業(yè)單位網(wǎng)絡(luò)（比如信息點(diǎn)數(shù)在 1000～ 10000之間）大概會需 要 105000個(gè)并發(fā)連接，所以支持 100000～ 120220最大并發(fā)連接的防火墻就可以滿足企業(yè)的實(shí)際需 要 。 連接 數(shù)性能指標(biāo) 并發(fā)連接數(shù)是衡量 防火墻 性能的一個(gè)重要指標(biāo)。 3. 從防火墻結(jié)構(gòu)分為 單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。從圖中可以看出，防火墻的一端連接企事業(yè)單位內(nèi)部的局域網(wǎng)，而另一端則連接著互聯(lián)網(wǎng)。而二極管我們知道，它具有單向?qū)щ娦?，這樣也就形象地說明了防火墻具有