防火墙技术应用

防火墙安全功能指标

我们防火墙也会提供各种各样的互联接口，它这种接口有以太网、快速以太网、千兆以太网，以太网是10M，快速以太网是百兆，甚至有万兆和40G的口，ATM，令牌环及FDDI是早就淘汰的技术，现在在我们防火墙上见到的接口，百分之99都是以太网接口，没有其他接口

除了IP协议之外，工控的防火墙还支持modbus等等一系列工控协议，IPSec是现在用的，PPTP这个也是，还有IPV6

很多的厂商防火墙其实是由路由器改过来的，所以常见的路由协议都支持

现在很多防火墙都有DPI技术，深入包检测就是把你的包拆开看里面具体有什么内容，从而进行流量管理，我禁止你上迅雷、敏感网站这一类的功能

应用层控制跟流量管理差不多，都依赖DPI技术，防火墙是安全设备，能够防止各种各样的攻击，也支持SNMP的网络管理协议，能够远程通过网管软件对防火墙进行一个管理和配置

防火墙支持各种各样的审计信息，最后形成报表，输出

防火墙性能指标

最大吞吐量，比如说有些防火墙是10G，有些可能是500M，在只有一条默认允许规则不丢包的情况下，能达到的一个最大吞吐率，有防火墙整机的一个吞吐量、http吞吐量、SQL吞吐量，一般我们说的防火墙吞吐量指的是它的三层网络吞吐量，可能是10G，三层指的是网络层，如果我们要检测http或者SQL应用层，这种比较深入的检测，一般它的性能会有一个大的降低，比如应用层吞吐有1个G，网络层吞吐最大10个G

一般我们说的连接率更多的是TCP的连接率，最大的连接数量是十万，超过十万TCP就连接不上来了

最大规则数，像我们的acl配置一般都有数量，我们的防火墙其实它的规则就类似于访问控制列表一样，可以配置一千条或者一万条，防火墙性能越强，配置越多

并发连接数，同时建立的连接，一般也是看tcp连接数

防火墙安全保障指标，用于评测防火墙的安全程度，主要包含开发指导性文档、生命周期支持

环境适应性指标，用于评估防火墙的部署和正常运行的条件，电磁兼容、绝缘、接地

一般我们卖防火墙，很少看防火墙安全保障指标、环境适应性指标这些东西，除非你卖在工控领域，工控领域它的环境要稍微恶劣一点，比如说防尘，一般带电的设备都不防水，主要是防尘、防震动，像电磁兼容、绝缘、接地，没有谁会去看

防火墙自身指标了解一下就行了，像什么管理能力、异常处理不重要，最重要的是最大吞吐量、最大连接速率、最大规则数、并发连接数，最大规则数这个其实也很少看，最最重要的是吞吐，除此之外，看防火墙的接口，你是百兆口，还是千兆口、万兆口，比如一个防火墙它有十个万兆接口，那肯定是一个高端防火墙，低端防火墙不会给我们整这么高级的接口，而且接口数量不会这么多，像这种吞吐量一般也是比较大的