下一代防火墙的概述

1.防火墙的定义

1.1什么是防火墙？

防火墙（Firewall），也称防护墙，是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网（US5606668（A）1993-12-15）。防火墙是位于内部网和外部网之间的屏障，它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线，其作用是防止非法用户的进入。

1.2防火墙的分类

1.3防火墙的功能

1.访问控制
2.地址转换
3.网络环境支持
4.带宽管理功能
5.入侵检测
6.用户认证
7.高可用性

1.4防火墙的安全策略

• 定义
➢ 安全策略是按一定规则控制设备对流量转发以及对流量进行内容安全一体化检测的策略。
➢ 规则的本质是包过滤

• 主要应用
➢ 对跨防火墙的网络互访进行控制
➢ 对设备本身的访问进行控制

1.4.1防火墙安全策略原理

1.4.2防火墙安全策略作用

根据定义的规则对经过防火墙的流量进行过滤筛选，再进行下一步操作。

1.4.3防火墙安全策略分类

域间安全策略

域内安全策略

接口包过滤

2.防火墙的相关技术

防火墙技术与相应的防火墙类型

2.1包过滤技术

访问控制技术

定义：指防止对任何资源进行未授权的访问，从而使计算机系统 在合法的范围内使用。
包过滤技术属于访问控制技术中的一种

2.1.1包过滤的基础

TCP/IP数据包示意（图中IP所承载的上层协议为TCP/UDP）

数据包五元组

源地址
目的地址
源端口
目的端口
协议
对于TCP/UDP来说， 这5个元素组成了一个 TCP/UDP连接，访问 控制列表就是利用这 些元素所定义的规则。

2.1.2包过滤防火墙的工作过程

2.2会话机制

2.2.1状态防火墙原理

2.2.2会话表项

2.2.3状态检测防火墙的转发机制

2.3应用代理技术

2.3.1应用代理图解

（1）传统的客户端请求服务端，服务端回复客户端

（2）在客户端和服务端之间设置了防火墙设备后

2.3.2应用代理防火墙的原理

3.防火墙的性能指标

3.1吞吐量

定义：防火墙能同时处理的最大数据量

有效吞吐量
除掉TCP因为丢包和超时重发的数据, 实际的每秒 传输有效速率

衡量标准：吞吐量越大，性能越高

3.2时延

定义;数据包的第一个比特进入防火墙到最后一个比特输出防 火墙的时间间隔指标
用于测量防火墙处理数据的速度理想的情况，测试的是其存储转发（Store and Forward）的性能。

衡量标准：延时越小，性能越高

3.3丢包率

定义：在连续负载的情况下，防火墙由于资源不足，应转发但是未转发的百分比。

衡量标准：丢包率越小，防火墙的性能越高

3.4背靠背

衡量标准：背靠背主要是指防火墙缓冲容量的大小。网络上常会出现一些突发的大流量（例如：NFS，备份，路由更新等） ，而且这样的数据包的丢失可能会产生更多的数据包丢失。强 大的缓冲能力可以减小对这种突发网络情况造成的影响。

3.5并发连接

定义：由于防火墙是针对连接进行处理的，并发连接数目是指防火墙可以同时容纳的最大的连接数目，一个连接就是一个 TCP/UDP的访问。

衡量指标：并发连接数指标越大，抗攻击能力也越强。