防火牆參數
主要分類如下:1. 從軟、硬體形式上分為
軟體防火牆和硬體防火牆以及晶片級防火牆。
2. 從防火牆技術分為
“包過濾型”和“套用代理型”兩大類。
3. 從防火牆結構分為
單一主機防火牆、路由器集成式防火牆和分散式防火牆三種。
4. 按防火牆的套用部署位置分為
邊界防火牆、個人防火牆和混合防火牆三大類。
5. 按防火牆性能分為
百兆級防火牆和千兆級防火牆兩類。
硬體參數
是指設備使用的處理器類型或晶片及主頻,記憶體容量,快閃記憶體容量,網路接口,存儲容量類型等數據。並發連線數:
並發連線數是指防火牆或代理伺服器對其業務信息流的處理能力,是防火牆能夠同時處理的點對點連線的最大數目,它反映出防火牆設備對多個連線的訪問控制能力和連線狀態跟蹤能力,這個參數的大小直接影響到防火牆所能支持的最大信息點數。
並發連線數是衡量防火牆性能的一個重要指標。在目前市面上常見防火牆設備的說明書中大家可以看到,從低端設備的500、1000個並發連線,一直到高端設備的數萬、數十萬並發連線,存在著好幾個數量級的差異。那么,並發連線數究竟是一個什麼概念呢?它的大小會對用戶的日常使用產生什麼影響呢?要了解並發連線數,首先需要明白一個概念,那就是“會話”。這個“會話”可不是我們平時的談話,但是可以用平時的談話來理解,兩個人在談話時,你一句,我一句,一問一答,我們把它稱為一次對話,或者叫會話。同樣,在我們用電腦工作時,打開的一個視窗或一個Web頁面,我們也可以把它叫做一個“會話”,擴展到一個區域網路裡面,所有用戶要通過防火牆上網,要打開很多個視窗或Web頁面發(即會話),那么,這個防火牆,所能處理的最大會話數量,就是“並發連線數”。
像路由器的路由表存放路由信息一樣,防火牆裡也有一個這樣的表,我們把它叫做並發連線表,是防火牆用以存放並發連線信息的地方,它可在防火牆系統啟動後動態分配進程的記憶體空間,其大小也就是防火牆所能支持的最大並發連線數。大的並發連線表可以增大防火牆最大並發連線數,允許防火牆支持更多的客戶終端。儘管看上去,防火牆等類似產品的並發連線數似乎是越大越好。但是與此同時,過大的並發連線表也會帶來一定的負面影響:
1.並發連線數的增大意味著對系統記憶體資源的消耗
以每個並發連線表項占用300B計算,1000個並發連線將占用300B×1000×8bit/B≈2.3Mb記憶體空間,10000個並發連線將占用23Mb記憶體空間,100000個並發連線將占用230Mb記憶體空間,而如果真的試圖實現1000000個並發連線的話那么,這個產品就需要提供2.24Gb記憶體空間!
2.並發連線數的增大應當充分考慮CPU的處理能力
CPU的主要任務是把網路上的流量從一個網段儘可能快速地轉發到另外一個網段上,並且在轉發過程中對此流量按照一定的訪問控制策略進行許可檢查、流量統計和訪問審計等操作,這都要求防火牆對並發連線表中的相應表項進行不斷的更新讀寫操作。如果不顧CPU的實際處理能力而貿然增大系統的並發連線表,勢必影響防火牆對連線請求的處理延遲,造成某些連線逾時,讓更多的連線報文被重發,進而導致更多的連線逾時,最後形成雪崩效應,致使整個防火牆系統崩潰。
3.物理鏈路的實際承載能力將嚴重影響防火牆發揮出其對海量並發連線的處理能力
雖然目前很多防火牆都提供了10/100/1000Mbps的網路接口,但是,由於防火牆通常都部署在Internet出口處,在客戶端PC與目的資源中間的路徑上,總是存在著瓶頸鏈路——該瓶頸鏈路可能是2Mbps專線,也可能是512Kbps乃至64Kbps的低速鏈路。這些擁擠的低速鏈路根本無法承載太多的並發連線,所以即便是防火牆能夠支持大規模的並發訪問連線,也無法發揮出其原有的性能。
有鑒於此,我們應當根據網路環境的具體情況和個人不同的上網習慣來選擇適當規模的並發連線表。因為不同規模的網路會產生大小不同的並發連線,而用戶習慣於何種網路服務以及如何使用這些服務,同樣也會產生不同的並發連線需求。高並發連線數的防火牆設備通常需要客戶投資更多的設備,這是因為並發連線數的增大牽扯到數據結構、CPU、記憶體、系統匯流排和網路接口等多方面因素。如何在合理的設備投資和實際上所能提供的性能之間尋找一個黃金平衡點將是用戶選擇產品的一個重要任務。按照並發連線數來衡量方案的合理性是一個值得推薦的辦法。
以每個用戶需要10.5個並發連線來計算,一個中小型企業網路(1000個信息點以下,容納4個C類地址空間)大概需要10.5×1000=10500個並發連線,因此支持20000~30000最大並發連線的防火牆設備便可以滿足需求;大型的企事業單位網路(比如信息點數在1000~10000之間)大概會需要105000個並發連線,所以支持100000~120000最大並發連線的防火牆就可以滿足企業的實際需要; 而對於大型電信運營商和ISP來說,電信級的千兆防火牆(支持120000~200000個並發連線)則是恰當的選擇。為較低需求而採用高端的防火牆設備將造成用戶投資的浪費,同樣為較高的客戶需求而採用低端設備將無法達到預計的性能指標。利用網路整體上的並發連線需求來選擇適當的防火牆產品可以幫助用戶快速、準確的定位所需要的產品,避免對單純某一參數“愈大愈好”的盲目追求,縮短設計施工周期,節省企業的開支。從而為企業實施最合理的安全保護方案。
在利用並發連線數指標選擇防火牆產品的同時,產品的綜合性能、廠家的研發力量、資金實力、企業的商業信譽和經營風險以及產品線的技術支持和售後服務體系等都應當納入採購者的視野,將多方面的因素結合起來進行綜合考慮,切不可盲目的聽信某些廠家廣告宣傳中的大並發連線的宣傳,要根據自己業務系統、企業規模、發展空間和自身實力等因素多方面考慮。
吞吐量
網路中的數據是由一個個數據包組成,防火牆對每個數據包的處理要耗費資源。吞吐量是指在沒有幀丟失的情況下,設備能夠接受的最大速率。其測試方法是:在測試中以一定速率傳送一定數量的幀,並計算待測設備傳輸的幀,如果傳送的幀與接收的幀數量相等,那么就將傳送速率提高並重新測試;如果接收幀少於傳送幀則降低傳送速率重新測試,直至得出最終結果。吞吐量測試結果以比特/秒或位元組/秒表示。
吞吐量和報文轉發率是關係防火牆套用的主要指標,一般採用FDT(Full Duplex Throughput)來衡量,指64位元組數據包的全雙工吞吐量,該指標既包括吞吐量指標也涵蓋了報文轉發率指標。
隨著Internet的日益普及,內部網用戶訪問Internet的需求在不斷增加,一些企業也需要對外提供諸如WWW頁面瀏覽、FTP檔案傳輸、DNS域名解析等服務,這些因素會導致網路流量的急劇增加,而防火牆作為內外網之間的唯一數據通道,如果吞吐量太小,就會成為網路瓶頸,給整個網路的傳輸效率帶來負面影響。因此,考察防火牆的吞吐能力有助於我們更好的評價其性能表現。這也是測量防火牆性能的重要指標。
吞吐量的大小主要由防火牆區域網路卡,及程式算法的效率決定,尤其是程式算法,會使防火牆系統進行大量運算,通信量大打折扣。因此,大多數防火牆雖號稱100M防火牆,由於其算法依靠軟體實現,通信量遠遠沒有達到100M,實際只有10M-20M。純硬體防火牆,由於採用硬體進行運算,因此吞吐量可以達到線性90-95M,是真正的100M防火牆。
對於中小型企業來講,選擇吞吐量為百兆級的防火牆即可滿足需要,而對於電信、金融、保險等大公司大企業部門就需要採用吞吐量千兆級的防火牆產品。
安全過濾頻寬
安全過濾頻寬是指防火牆在某種加密算法標準下,如DES(56位)或3DES(168位)下的整體過濾性能。它是相對於明文頻寬提出的。一般來說,防火牆總的吞吐量越大,其對應的安全過濾頻寬越高