防火墙产品小常识

防火墙产品小常识

一、分类

防火墙产品型号繁多，从类型上可以分为包过滤防火墙、复合型防火墙及应用代理防火墙，现阶段市场上的防火墙主要以包过滤或复合型防火墙为主；从硬件性能上又可以分为十兆、百兆、千兆防火墙，随着硬件性能的提高，部分生产企业推出了适合高性能网络的万兆防火墙，但百兆和千兆防火墙仍然是防火墙产品的主流。

二、选购

1、网络结构需求。

包括网络边界出口链路的带宽要求、数量等情况，比如边界连接多个ISP；IP地址规划对防火墙地址转换的需求，比如对路由模式和透明网桥模式的支持；是否需要按照不同安全级别设立多个网段，如设置内网、外网、停火区等三个或三个以上网段。目前，市场上的大多防火墙都至少支持三个口，甚至更多。

2、业务应用系统需求。

防火墙对特定应用的支持功能和性能，比如对视频、语音、数据库应用穿透防火墙的支持能力；防火墙对应用层信息过滤，比如对垃圾邮件、病毒、非

法信息等过滤；对应用系统是否具有负载均衡功能。

3、通信流量规模方面的需求。

网络规模大小、跨防火墙访问的网络用户数量，要求防火墙具有较高的最大并发连接数；网络边界的通信流量要求防火墙具有较高的吞吐量、较低的丢包率、较低的延时等性能指标，防止出现网络性能瓶颈。

4、可靠性、可用性和易用性等方面的需求。

支撑高可用、高可靠的网络平台，要求防火墙必须达到一定的冗余能力，包括对双机热备、负载均衡、多机集群等方式的支持。对于大型网络分布式防火墙配置，要求有集中控管能力、管理界面的友好性、远程配置的安全保密等功能。

5、以需求为导向，选择最适合实际需求的产品。

最适合并不意味着某一种或某几种性能和功能最好，选购时应集中在切实需要的指标上，超出实际需求子集的指标不能作为选择依据；而且不同厂家可能拥有不同的技术优势，需要进行折中考虑。另外，还要考虑到可承受的性价比。

6、了解产品性能情况。

对于产品的选型，可参考的指标来源于厂家提供的技术白皮书、测评机构

的横向对比测试报告，从中可以了解产品的基本性能情况。

7、制定合适的选型测试方案。

要完全按照实际需求来对比各种产品的满足程度，最好是根据需求，定制一套测试方案，并对防火墙在统一测试条件和测试环境下进行横向对比测试，这样出来的测试结果才真正具有可比性。关于防火墙选型测试的技术标准可以参照《GB/T 20281-2006 信息安全技术防火墙技术要求和测试评价方法》、RFC2544、RFC2647、RFC3511等标准和文档。

另外，购买时还应重点关注防火墙的性能指标，主要包括吞吐量、丢包率、时延、最大并发连接数、每秒新建连接数等。选购时应该根据网络规模和需求，对上述指标参数进行详细了解，选择适合的产品。

（1）吞吐量。指在不丢包的情况下防火墙能够达到的最大速率。吞吐量的高低决定了防火墙在不丢帧的情况下转发数据包的最大速率。经常以pps（包每秒）来衡量，防火墙作为内外网之间的关键数据通道，如果吞吐量太小，就会成为网络瓶颈，给整个网络的传输效率带来负面影响。

（2）丢包率。在连续负载下，防火墙设备由于资源不足应转发而未转发，所丢失数据包数量占所发送数据包的比率。防火墙的丢包率对其稳定性、可靠性有很大影响。

（3）时延。指入口处输入帧最后一个比特到达至出口处输出帧的第一个比特输出所用的时间间隔。防火墙的时延能够体现其处理数据的速度。防火墙

的时延指标应重点考虑，时延过大，那么通过的声音和视频就会出现延迟、颤抖和抖动的现象。

（4）最大并发连接数。指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数。它体现了防火墙或代理服务器对其业务信息流的处理能力，是防火墙能够同时处理的点对点会话连接的最大数目，反映了防火墙对多个连接的访问控制能力和连接状态跟踪能力。

（5）每秒新建连接数。指每秒钟可以通过防火墙建立起来的完整TCP/UDP 连接。该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度，如果该指标低会造成用户明显感觉上网速度慢，在用户量较大的情况下容易造成防火墙处理能力急剧下降，并且造成防火墙对网络攻击防范能力差。应该客观地看到，没有一个防火墙的设计能够适用于所有的环境，因此选购时应根据实际运用环境的特点来选择合适的防火墙。