介绍防火墙如何处理数据应该把握哪些点

1、吞吐量
2、时延
3、丢包率
4、背靠背
5、并发连接数
6、扩展性
一、网络吞吐量。
当CIO在企业中部署了企业级别的防火墙之后，企业进出互联网的所有通信流量都要通过防火墙，故对于防火墙的吞吐量就有比较高的要求。以前有些企业是通过ADSL拨号上网的，这时由于带宽的限制，可能防火墙还可以应付。可是现在大部分企业可能已经都采用了光纤接入，带宽本来就很大。此时就给防火墙带来了一定的压力。
因为防火墙是通过对进入与出去的数据进行过滤来识别是否符合安全策略的，所以在流量比较高时，要求防火墙能以最快的速度及时对所有数据包进行检测。否则就可能造成比较长的延时，甚至发生死机。所以网络吞吐量指标非常重要，它体现了防火墙的可用性能，也体现了企业用户使用防火墙产品的延时代价。如果防火墙对网络造成较大的延时，给用户造成较大的损失。这一点上笔者是深有感触。笔者企业很早以前就部署了企业级别的防火墙。后来公司网络进行升级改造，实现了光纤接入。可是升级改造后，笔者发现可用带宽不到预计带宽的一半。一开始笔者怀疑是光纤问题。叫对方技术人员过来，他们测试光纤的传输没有问题，带宽达到预计的标准。那笔者就感到困惑了是什么原因吞噬了企业宝贵的带宽呢经过一番查找，最终发现原来是哪个防火墙在作怪。原来这个防火墙采购比较早，其网络吞吐量只有10M。难怪采用光纤接入后达不到预计的要求。为此笔者不得不重新选择了一款高性能的防火墙，其网络吞吐量达到100M。就的防火墙笔者就用来进行内部的隔离。故如果企业采用了防火墙之后，对可用带宽造成了很大的影响，那无疑是一种大大的浪费。
所以笔者认为，CIO在选购防火墙的时候第一个要看的指标就是防火墙的吞吐量。当然，这个吞吐量也不是越大越好。因为吞吐量越大的话，防火墙的价格也就越高。CIO要根据企业的实际情况，如现在接入互联网的带宽等因素，来选择的合适的带宽。当然如果企业资金充裕，CIO有钱没处花的话，那么吞吐量当然是越大越好。吞吐量一个基本的原则就是至少要跟企业现有的互联网接入带宽相当。
二、协议的优先级。
笔者企业现在已经实现了网络会议视频。各个分公司与总公司之间可以通过网络开视频会议，而不用再像以前那样赶来赶去开会。不过这个视频会议需要占用不少的带宽。以前每次启用这个视频会议，其他用户都会感受到网络速度明显的变慢。而且有时候网络视频也会有一卡一卡的现象。有时候笔者得把其他用户的外网断掉，这一卡一卡的现象就得到了改善。但是每次这么处理很是麻烦。为了改善这个情况，笔者在选择防火墙的时候特别关注防火墙是否有协议优先级的管理。也就是说，当视频会议系统启动时，企业网络带宽的使用率可能会比较高。这就好像现在的下班高峰一样，路上车堵了，那么车速难免就会慢下来。但是如果这是一辆救护车，那么其就有优先通过的权力。其他车辆都必须为其让道。笔者也希望能够实现类似的控制。还好，现在这款防火墙没有让笔者失望。在这款防火墙中，有协议优先级的功能，可以把语音流等关键业务的数据流量设置为比较高的优先级别。当企业的网络中出现拥塞时，将优先保证这些优先级别高的流量的通过。经过这个设置之后，以后开起视频会议的时候，就不用在手工的去关闭其他用户的网络。防火墙会自动根据企业网络状况来调整通信流量的优先级别，保证视频等通信流量具有优先通过的权力。
故笔者建议的第二个指标就是这个协议的优先性。现在视频应用在企业中使用是越来越广泛。如视频会议系统、语音电话等等在企业中都很普及。而这些应用都会占用企业比较大的带宽。如果企业带宽跟不上的话，这些应用的质量将会受到很大的影响，如通话的质量可能会时断时续。就好像手机信号差一样。虽然可以通过提高互联网的接入速度来改善这种情况，但是这不是首选方案。因为增加带宽需要企业花费比较大的投资。故笔者认为最理想的解决方案是对企业的通信流量进行管理。通过防火墙把一些关键应用的流量设置为比较高的优先级。在网络传输中，要首先保障这些通信流量能够优先通过。这就可以明显改善语音通话等视频应用的效果。
另外这还可以用来约束员工的网络行为。如有些员工喜欢利用emule等工具下载。但是这些工具的话会占用很大的带宽，因为他们在从网络上下载的同时，也提供别人进行下载。故耗用的带宽比较多。如果一味的限制他们，也不怎么人情化。如果把这些通信流量设置为比较低的级别，当网络比较繁忙的时候，这些通信流量占用的带宽将不断降低，只到为零。如此的话，这些通信流量对企业其他正常网络应用的影响将会降至到最低。
故笔者建议CIO在防火墙选型时第二个需要考虑的就是协议的优先级管理。特别是企业有语音电话、视频会议系统这些高级网络应用的话，则这个协议的优先级管理功能就更加的重要。
三、具有一定的扩展性。
企业的网络不可能永远的一成不变。随着企业规模的扩大，公司内部的网络会不断的升级，以符合企业日益发展的需要。如企业现在可能只是一个公司，但是随着规模的壮大可能会在各地开立分公司或者办事处。此时就遇到一个问题，如何把各地的分公司的网络与总公司的网络连接起来。为此通过来连接无疑是一个不错的方案。但是此时CIO就遇到了一个问题，现有的防火墙能否支持技术呢企业很有可能以前在选购防火墙的时候没有注意到这个问题。那么后来网络升级后，CIO就会变得跟被动了。
所以CIO在选型购防火墙时第三个要考虑的指标就是防火墙的扩展性。现在企业可能不需要某个功能，如功能。在购买防火墙时购买不需要用到的模块也是一种浪费。但是防火墙要能够保证在以后企业用的着的时候，能够顺利进行扩展，而不需要重新购买。在这个扩展性问题上，笔者认为CIO可以从几个方面来考虑。
一是为了后续扩展的需要，最好能够购买那些模块化设计的防火墙。如此的话，后续增添其他功能的话，只需要购买模块即可。而不需要更换整个硬件防火墙。也就是说CIO选择的硬件防火墙系统最好是一个可随意伸缩的模块化解决方案，包括从最基本的包过滤器到带加密功能的型包过滤器，最终到一个独立的应用网关的等等。只有如此，才能让CIO轻松面对企业信息化应用的升级。
二是考虑网络接口的问题。通常情况下防火墙最基本的配置有两个网络接口：内部的和外部的网络接口。这些接口对应着访问网络的信任程度。其中外部网络接口连接的是不可信赖的网络，而内部网络接口连接的是得到信任的网络。在内部网部署时，连接到外部的接口可能需要和公司的主要部分连接，这时可能比外部网络的信任度高，但又稍微低于内部网络的信任度。但是随着公司因特网商业需求的复杂化，只有两个接口的防火墙明显具有局限性，可能无法满足企业业务方面的需求。如企业可能出于安全的需要，以后很有可能要用到第三个接口DMZ接口。为此为了以后信息化应用升级的考虑，CIO在防火墙选购时，还需要关注是否有足够丰富的接口;或者考虑以后是否可以通过模块的形式来增加可用的接口。

网络性能主要有主动测试，被动式测试以及主动被动相结合测试三种方法
1主动测量是在选定的测量点上利用测量工具有目的地主动产生测量流量注入网络，并根据测量数据流的传送情况来分析网络的性能。
主动测量在性能参数的测量中应用十分广泛，因为它可以以任何希望的数据类型在所选定的网络端点间进行端到端性能参数的测量。最为常见的主动测量工具就是“Ping”，它可以测量双向时延，IP 包丢失率以及提供其它一些信息，如主机的可达性等。主动测量可以测量端到端的IP 网络可用性、延迟和吞吐量等。因为一次主动测量只是查验了瞬时的网络质量，因此有必要重复多次，用统计的方法获得更准确的数据。
要对一个网络进行主动测量，则需要一个面向网络的测量系统，这种主动测量系统应包括以下几个部分：
- 测量节点：它们分布在网络的不同端点上，进行测量数据包的发送和接收，若要进行单向性能的测量，则它们之间应进行严格的时钟同步；
- 中心服务器：它与各个测量节点通信，进行整个测量的控制以及测量节点的配置工作；
- 中心数据库：存储各个节点所收集的测量数据；
- 分析服务器：对中心数据库中的数据进行分析，得到网络整体的或具体节点间的性能状况
在实际中，中心服务器，中心数据库和分析服务器可能位于同一台主机中。
主动测量法依赖于向网络注入测量包，利用这些包测量网络的性能，因此这种方法肯定会产生额外的流量。另一方面，测量中所使用的流量大小以及其他参数都是可调的。主动测量法能够明确地控制测量中所产生的流量的特征，如流量的大小、抽样方法、发包频率、测量包大小和类型(以仿真各种应用)等，并且实际上利用很小的流量就可以获得很有意义的测量结果。主动测量意味着测量可以按测量者的意图进行，容易进行场景的仿真，检验网络是否满足QoS 或SLA 非常简单明了。
总之，主动测量的优点在于可以主动发送测量数据，对测量过程的可控制性比较高，比较灵活机动，并易于对端到端的性能进行直观的统计；其缺点是注入测量流量本身就改变了网络的运行情况，即改变了被测对象本身，使得测量的结果与实际情况存在一定的偏差，而且注入网络的测量流量还可能会增加网络的负担。
2被动测量是指在链路或设备（如路由器，交换机等）上对网络进行监测，而不需要产生流量的测量方法。
被动测量利用测量设备监视经过它的流量。这些设备可以是专用的，如Sniffer，也可以是嵌入在其它设备(如路由器、防火墙、交换机和主机)之中的，如RMON, SNMP 和netflow 使能设备等。控制者周期性地轮询被动监测设备并采集信息(在SNMP 方式时，从MIB 中采集)，以判断网络性能和状态。被动测量主要有三种方式：
- 通过SNMP 协议采集网络上的数据信息，并提交至服务器进行处理。
- 在一条指定的链路上进行数据监测，此时数据的采集和分析是两个独立的处理过程。这种方法的问题是OC48（25Gbit/s）以上的链路速度超过了 PCI 总线（64bit，33MHz）的能力，因此对这些高速链路的数据采集只能采用数据压缩，聚合等方式，这样会损失一定的准确性。
- 在一台主机上有选择性的进行数据的采集和分析。这种工具只是用来采集分析网络上数据包的内容特性，并不能进行性能参数的测量，如Ethereal 等工具。
被动测量非常适合用来测量和统计链路或设备上的流量，但它并不是一个真正的 QoS 参数，因为流量只是当前网络（设备）上负载情况的一个反映，通过它并不能得到网络实际的性能情况，如果要通过被动测量的方法得到终端用户所关心的时延，丢包，时延抖动等性能参数，只能采用在被测路径的两个端点上同时进行被动测量，并进行数据分析，但这种分析将是十分复杂的，并且由于网络上数据流量特征的不确定性，这种分析在一定程度上也是不够准确的。只有链路带宽这个流量参数可以通过被动测量估算出来。
被动测量法在测量时并不增加网络上的流量，测量的是网络上的实际业务流量，理论上说不会增加网络的负担。但是被动测量设备需要用轮询的方法采集数据、陷阱(trap)和告警（利用SNMP 时），所有这些都会产生网络流量，因此实际测量中产生的流量开销可能并不小。
另外，在做流分析或试图对所有包捕捉信息时，所采集的数据可能会非常大。被动测量的方法在网络排错时特别有价值，但在仿真网络故障或隔离确切的故障位置时其作用会受到限制。
总之，被动测量的优点在于理论上它不产生流量，不会增加网络的负担；其缺点在于被动测量基本上是基于对单个设备的监测，很难对网络端到端的性能进行分析，并且可能实时采集的数据量过大，且存在用户数据泄漏等安全性问题。
3主动、被动相结合测试
主动测量与被动测量各有其有缺点，而且对于不同的参数来说，主动测量和被动测量也都有其各自的用途。对端到端的时延，丢包，时延变化等参数比较适于进行主动测量；而对于路径吞吐量等流量参数来说，被动测量则更适用。因此，对网络性能进行全面的测量需要主动测量与被动测量相结合，并对两种测量结果进行对比和分析，以获得更为全面科学的结论。

技术科目前四篇的考点总结已完结，今天为小伙伴们分享第五篇—安全评估的建筑性能化防火评估的考点总结，希望对大家备考有所帮助~
在学习新章节之前，我们先进行前面章节的复习：
→汇总篇|技术实务前四篇考点总结
→概述及火灾风险识别考点总结
→火灾风险评估方法考点总结
第四章建筑性能化防火评估
动态针分割线
四年共考了10分
通过对本章的学习，应掌握建筑性能化防火设计评估的概念以及可以解决的问题，熟悉如何确立消防安全目标及判定条件；
了解烟气模拟计算分析手段和烟气羽流有关参数的计算方法，掌握烟气流动几种计算模型的适用条件；
了解人员安全疏散计算模拟分析手段和影响人员安全疏散的因素，掌握疏散安全所需时间的组成和计算方法，熟悉通用疏散分析模型及特性；
了解建筑结构的主要形式及其耐火性能的特点，掌握影响建筑构件耐火性能的主要因素；
了解钢结构、钢筋混凝土结构的耐火计算方法以及整体结构计算的方法和步骤。
第一节 概 述
第二节 火灾场景设计
第三节 烟气流动与控制
第四节 人员疏散分析
第五节 建筑结构耐火性能分析
第一节 概 述
考点1 定义
性能化防火设计，是指根据建设工程使用功能和消防安全要求，运用消防安全工程学原理，采用先进适用的计算分析工具和方法，为建设工程消防设计提供设计参数、方案，或对建设工程消防设计方案进行综合分析评估，完成相关技术文件的工作过程。
考点2 特点
与传统的防火设计规范相对比，性能化的防火设计规范具有以下特点。
1）加速技术革新。在性能化规范的体系中，对设计方案不做具体规定，只要能够达到性能目标，任何方法都可以使用，这样就加快了新技术在实际设计中的应用，不必考虑应用新设计方法可能导致与规范的冲突。性能化的规范给防火领域的新思想、新技术提供了广阔的应用空间。
2）提高设计的经济性。性能化设计的灵活性和技术的多样化给设计人员提供了更多的选择，在保证安全性能的前提下，通过设计方案的选择可以采用投入效益比更优化的系统。
3）加强设计人员的责任感。性能设计以系统的实际工作效果为目标，要求设计人员通盘考虑系统的各个环节，减小对规范的依赖，不能以规范规定不足为理由忽视一些重要因素。这对于提高建筑防火系统的可靠性和提高设计人员技术水平都是很重要的。
考点3 存在的技术问题
性能化防火设计案例尚缺乏火灾验证。目前使用的性能化方法还存在以下技术问题。
1）性能评判标准尚未得到一致认可。
2）设计火灾的选择过程确定性不够。
3）对火灾中人员行为假设的成分过多。
4）预测性火灾模型中存在未得到很好证明或者没有被广泛理解的局限性。
5）火灾模型的结果是点值，没有将不确定性因素考虑进去。
6）设计过程常常要求工程师超出专业之外的领域工作。
考点4 建筑物性能化防火设计的一般程序
1）确定建筑物的使用功能、建筑设计的适用标准；
2）检查为实现建筑师的设计思想与业主的要求，现行标准中哪些规定无法按规定要求实施，从而确定需要采用性能化设计方法进行设计的问题；
3）进行性能化试设计和评估验证；
4）修改完善设计并进一步评估验证确定是否满足所确定的消防安全目标；
5）提交审查与批准。
考点5 性能化防火设计的内容
确定设计火灾场景与设定火灾，不同类型建筑的火灾荷载密度确定，烟气运动的分析方法，人员安全疏散分析，主动消防设施的对火反应特性分析，火灾危害和火灾风险的分析与评估，性能化设计与评估中所用方法的有效性分析。

最新挂马站点（来自360安全播报 news360cn ） 注意把HXXP换成>