網(wǎng)絡安全基礎大全--防火墻體系結構

1、驗證主機網(wǎng)關

2、數(shù)據(jù)包過濾路由器最近只允許主機使用數(shù)據(jù)包

3、將數(shù)據(jù)包過濾路由器連接到外部網(wǎng)絡

4、最近在內(nèi)部網(wǎng)絡上安裝了主機

5、過濾規(guī)則通常在路由器上設置，以使防御主機成為唯一可以從外部網(wǎng)絡直接訪問的主機，從而防止內(nèi)部網(wǎng)絡受到未經(jīng)授權的外部用戶的攻擊。

6、已驗證的子網(wǎng)防火墻

7、在內(nèi)部和外部網(wǎng)絡之間添加子網(wǎng)

8、子網(wǎng)阻塞區(qū)域稱為外圍網(wǎng)和DMZ（非軍事區(qū)）。

9、入侵者在攻擊內(nèi)部網(wǎng)絡時必須至少突破兩個路由器。

9.1、內(nèi)部路由器

? DMZ內(nèi)部網(wǎng)管理

? 僅從最近的主機接收數(shù)據(jù)包

? 完成大多數(shù)防火墻任務

9.2、外部路由器

? 避免訪問常見的外部攻擊網(wǎng)絡

? 管理DMZ中的Internet訪問

? 只有外部系統(tǒng)可以訪問最近的主機

? 安全性，執(zhí)行多個代理服務

網(wǎng)絡安全基礎大全--硬件防火墻性能指標

1、吞吐量

定義：在不丟失軟件包的情況下達到的最大速度

衡量標準：吞吐量是衡量防火墻性能的重要指標之一。低吞吐量將導致網(wǎng)絡中出現(xiàn)新的瓶頸，從而影響整個網(wǎng)絡的性能。

2、延遲

定義：輸入幀的最后一位和輸出幀的第一位之間的間隔

測量標準：防火墻延遲反映數(shù)據(jù)處理速度

3、丟包率

定義：防火墻設備在持續(xù)負載下必須傳輸?shù)捎谫Y源不足而無法傳輸?shù)膸陌俜直?/span>

測量標準：防火墻的丟失位置對穩(wěn)定性和可靠性有很大影響

4、背靠背

定義：從空閑開始，以達到傳輸介質的最小法定間隔限制的傳輸速率傳輸大量固定長度幀。

測量標準：背包的測試結果可以反映被測防火墻的緩沖能力。網(wǎng)絡中的一些應用程序會生成大量突發(fā)數(shù)據(jù)包，如NFS、備份、路由更新等。這些數(shù)據(jù)包的丟失會生成更多的數(shù)據(jù)包。強緩沖可以減少這些突發(fā)網(wǎng)絡的影響。

5、最大并發(fā)連接數(shù)

定義：指示可以在防火墻和同時通過防火墻的主機之間設置的最大連接數(shù)。

測量標準：同步連接測試主要用于測試被測防火墻的TCP連接設置和維護性能，并反映被測防火墻響應客戶端TCP連接請求的能力。

6、每秒新連接數(shù)

每秒新連接數(shù)是防火墻啟動時最大連接數(shù)的速度指標，也是防火墻的性能指標之一。