防火墙的性能参数有哪些

防火墙(Firewall)

存取控制 ----指定IP地址、用户认证控制

拒绝攻击 ----检测SYN攻击、检测Tear Drop攻击、检测Ping of Death攻击、 检测IP Spoofing攻击、默认数据包拒绝、过滤源路由IP、动态过滤访问、支持Web、Radius及SecureID用户认证

网络地址转换NAT(Network Address Translation)

隐藏内部地址，节约IP资源

网络隔离DMZ(Demilitarized Zone)

物理上隔开内外网段，更安全，更独立

负载平衡(Load Balancing)

按规则合理分担流量至相应服务器，适用于ISP

虚拟专网(Virtual Private Network)

符合IPsec标准，节省专线费用。client适应国际趋势

流量控制及实时监控(Traffic Control)

用户带宽最大量限制，用户带宽最小量保障，八级用户优先级设置，合理分配带宽资源

网络防火墙从实现手段分硬件防火墙、软件防火墙；
硬件防火墙又分交换架构与服务器架构，其中交换机架构适合流量大的网络，服务器式的适合个性化强的设置放案。
单纯的服务器不属于哪一类。

分类: 电脑/网络 >> 反病毒
解析:

通俗点就是当程序访问你的机子或你的程序访问网络的时候他回提醒你的东东

专业点就是一、防火墙的概念

1 最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙 。

2 Rich Kosinski(Inter Security公司总裁）：
防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，控制进/出两个方向的通信。

3 William Cheswick和Steve Beilovin（1994）：

防火墙是放置在两个网络之间的一组组件，这组组件共同具有下列性质：

（1）只允许本地安全策略授权的通信信息通过；

（2）双向通信信息必须通过防火墙；

（3）防火墙本身不会影响信息的流通。

4 防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Inter之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。

注意：防火墙主要用于保护安全网络免受不安全网络的侵害。

典型情况：安全网络为企业内部网络，不安全网络为因特网。

但防火墙不只用于因特网，也可用于Intra各部门网络之间。（内部防火墙）。Eg：财务部与市场部之间。

5 在逻辑上，防火墙是分离器，限制器，也是一个分析器，有效地监控了内部网和外部网之间的任何活动，保证了内部网络的安全。

在物理上，防火墙通常是一组硬件设备——路由器、主计算机，或者是路由器、计算机和配有软件的网络的组合。

防火墙一般可分为多个部分，某些部分除了执行防火墙功能外还执行其它功能。Eg：加密和解密——。

6 防火墙的实质是一对矛盾（或称机制）：限制数据流通，允许数据流通。

两种极端的表现形式：除了非允许不可的都被禁止，安全但不好用。（限制政策）；除了非禁止不可的都被允许，好用但不安全。（宽松政策）

多数防火墙都在两种之间采取折衷。

在一个没有防火墙环境中，网络安全完全依赖于主机安全，并且在某种意义上所有主机都必须协同达到一个统一的高安全标准。基于主机的安全伸缩性不好：当一个站点上主机的数量增加时，确定每台主机处于高安全级别之上，势必会使性能下降。如果某个网络软件的薄弱点被发现，没有防火墙保护的站点必须尽可能快地更正每个暴露的系统，这并不现实，特别是在一些不同版本的 *** 作系统正被使用时。

二、防火墙的作用

1 网络安全的第一道防线（防盗门、战壕、交通警察、门卫）

2 防火墙是阻塞点，可强迫所有进出信息都通过这个唯一狭窄的检查点，便于集中实施安全策略。

3 防火墙可以实行强制的网络安全策略，Eg：禁止不安全的协议NFS，禁止finger 。

4 对网络存取和访问进行监控审计。Eg:网络使用和滥用的记录统计。

5 使用内部防火墙可以防止一个网段的问题传播到另一个网段。

三、防火墙体系结构

1 基本原理

（1）防火墙是网络之间的一种特殊的访问控制设施，放置在网络的边界上，用于隔离Inter的一部分，限制其与Inter其他部分之间数据的自由流动，在不可靠的互连网络中建立一个可靠的子网。

（2）安全域：一个计算机子网中具有相同安全政策的计算机的 。

（3）过滤器：本地安全政策的具体体现，对穿越的流量实施控制以阻止某一类别的流量。

2 防火墙分类

（1）IP级防火墙，又称报文过滤防火墙。

原理：在路由软件中根据报文的信源、信宿及服务类型来实现报文过滤功能。

特点：网络性能好，透明、方便；不能针对特定用户和特定请求，粒度不够。

（2）应用级防火墙，又称代理防火墙。

原理：双穴主机隔离内外直接连接，为两端代理服务请求。

特点：不存在直接报文交换，安全性好，粒度精确完备；但效率低，只能针对专门服务，有局限性。

（3）链路级防火墙

原理：双穴主机提供通用的TCP/UDP连接中继服务。

3 防火墙的使用

（1）一般原则

1）防火墙的使用是以额外的软硬件设备和系统性能的下降为代价的。

2）防火墙的设置取决于对网络的安全防卫要求和所能承受的经济能力，以及系统被攻破之后可能产生的后果的严重性。

3）防火墙适用于保护内部主机安全管理不太严格的大型组织机构。

（2）防火墙的使用形式

1）路由器过滤方式防火墙

在内部网与外部网的关键路径上设置一台带有报文过滤功能的路由器，通过设置过滤规则准确完备地表达本地网络的安全政策。

2）双穴信关方式防火墙

双穴主机使用两个接口分别连接内部和外部网络，并隔离两个网络之间的直接IP报文交换。分为代理服务和用户直接登录两种访问控制方式。

3）主机过滤方式防火墙

提供安全保护的堡垒主机仅与内部网相连，通过过滤路由器连接内部网和外部网，外部网只能访问堡垒主机。更具安全性和可 *** 作性。

4）子网过滤方式防火墙：DMZ方式（非军事区方式）

在主机过滤的基础上增加子网过滤，用过滤子网隔离堡垒主机与内部网，减轻攻击者入侵堡垒主机后对内部网的冲击。

5）内部防火墙

用于大型网络内部子网分隔，以阻止访问控制中信赖关系的传递转移。

（3）使用防火墙的问题

1）灵活性差，不能满足网络互连的复杂形式。

2）防火墙重点防卫网络传输，不保证高层协议的安全。

3）防火墙必须设置在路由的关键点，且安全域内不能存在备份的迂回路由。

4 防火墙的管理

（1）防火墙日志：用于安全追踪。

（2）备份：防火墙系统的所有配置文件和系统文件。

四、IP级防火墙

1 工作原理

（1）多端 换设备，根据报文报头执行过滤规则来进行报文转发。

（2）传输控制表

1）定义过滤规则，报文依次运用每一条规则直至匹配的规则，然后执行对应的 *** 作。

2）传输控制表的建立：安全政策→形式化描述→防火墙软件语法格式

3）制定过滤规则：规则之间并不互斥，长前缀匹配优先。

4）不同的IP级防火墙产品有不同的传输控制表格式。

2 报文过滤规则

（1）SMTP处理：服务器端口25，客户机端口>1023

（2）POP处理：服务器端口110，客户机端口>1023

（3）>防火墙的作用是：
防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。
在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

---