網絡攻防原理與技術 第3版 教案 -第12講 網絡防火墻

內容備注《網絡攻防原理與技術》課程教案講課題目：第十二講網絡防火墻目的要求：了解網絡防火墻的基本概念；掌握網絡防火墻的工作原理；掌握網絡防火墻的體系結構；了解防火墻評價標準；了解網絡防火墻的發(fā)展趨勢。重點難點：網絡防火墻的工作原理；網絡防火墻的體系結構。方法步驟：理論講授。器材保障：電腦、投影儀。主要教學內容:一、防火墻概述(一)防火墻的相關概念網絡型防火墻（network-basedfirewall），簡稱網絡防火墻，部署于不同安全域之間（通常是在內部網絡和外部網絡的邊界位置），對經過的數據流進行解析，具備網絡層、應用層訪問控制及安全防護功能的網絡安全產品。網絡防火墻主要有兩種產品形態(tài)：單一主機防火墻、路由器集成防火墻。單一主機防火墻，也稱為硬件防火墻，是目前最常見的網絡防火墻，其硬件平臺是一臺主機，通常是一臺高性能服務器，有至少兩塊網卡，每塊網卡連接不同的網絡，主機上運行防火墻軟件，執(zhí)行防火墻功能。除了具有專用硬件運行平臺的單一主機防火墻之外，一些網絡防火墻作為一個模塊集成在路由器中，與路由功能共用一個硬件平臺，這就是路由器集成防火墻。目前，大多數中高檔路由器都支持這種模式的防火墻。主機防火墻（host-basedfirewall）部署于計算機（包括個人計算機和服務器）上，也稱為個人防火墻，提供網絡層訪問控制，應用程序訪問限制和攻擊防護功能的網絡安全產品。主機防火墻的網絡層訪問控制功能與網絡防火墻的網絡層訪問控制功能類似。主機防火墻本質是一類安裝在個人計算機上的應用軟件，位于主機和外部網絡之間，為單臺主機提供安全防護。云防火墻的功能與傳統防火墻類似，差別主要有兩點：一是它部署在云上，以云服務的形式為用戶提供防火墻功能，所以也稱為“防火墻即服務（FirewallasaService，FWaaS）”；二是保護的對象主要是云上網絡資產，這些云上資產（可能來自于不同云服務提供商）形成用戶的虛擬專有云（VirtualPrivateCloud，VPC），類似于傳統防火墻保護的內網資產。(二)網絡防火墻的功能防火墻對內外網之間的通信進行監(jiān)控、審計，在網絡周界處阻止網絡攻擊行為，保護內網中脆弱以及存在安全漏洞的網絡服務，防止內網信息暴露。具體來說，網絡防火墻具有以下功能：1.網絡層控制在網絡層對網絡流量進行控制，包括訪問控制和流量管理。訪問控制功能主要包括：包過濾，對進出的網絡數據包的源IP地址、目的IP地址、源端口、目的端口、協議類型等進行檢查，根據預定的安全規(guī)則決定是否阻止數據包通過；網絡地址轉換（NAT），根據需要實現多對一、一對多、多對多的內外網地址轉換。流量管理是指根據策略調整客戶端占用的帶寬，主要功能包括：帶寬管理，根據源IP、目的IP、應用類型和時間段對流量速率進行控制、速率保證；連接數控制，限制單個IP的最大并發(fā)會話數和新建連接速率，防止大量非法連接產生時影響網絡性能；會話管理，當會話處于不活躍狀態(tài)一定時間或會話結束后，終止會話。2.應用層控制在應用層對網絡流量進行控制，包括：用戶管控，基于用戶認證的網絡訪問控制功能；應用類型控制，根據應用特征識別并控制各種應用流量，包括標準應用，也支持自定義應用的流量控制；應用內容控制，基于應用的內容對應用流量進行控制，如根據HTTP協議報文的請求方式、傳輸內容中的關鍵字等Web應用流量進行控制。3.攻擊防護識別并阻止特定網絡攻擊的流量。除了自身提供的攻擊防護外，很多防火墻還提供聯動接口，通過接口與其他網絡安全系統（如入侵檢測系統）進行聯動，如執(zhí)行其他安全系統下發(fā)的安全策略等。4.安全審計、告警與統計防火墻位于內外網的邊界位置，能夠監(jiān)視內外網之間所有的通信數據，可以詳盡了解在什么時刻由哪個源地址向哪個目的地址發(fā)送了怎樣負載內容的數據包。防火墻可以記錄下所有的網絡訪問并進行審計記錄，并對事件日志進行管理。同時，防火墻還可以對網絡使用情況進行統計分析。二、防火墻的工作原理從具體的實現技術上看，防火墻可以分為包過濾防火墻（Packet-filteringFirewalls）和應用網關防火墻（ApplicationGatewayFirewalls）兩類。包過濾防火墻又可以細分為無狀態(tài)包過濾防火墻（StatelessPacket-filteringFirewalls）和有狀態(tài)包過濾防火墻（StatePacket-filteringFirewalls）。通常情況下，如果沒有特別說明，包過濾防火墻是指無狀態(tài)包過濾防火墻，而將有狀態(tài)包過濾防火墻稱為狀態(tài)檢測防火墻(StateInspectionFirewalls)。（一）包過濾防火墻包過濾防火墻檢查數據包的包頭信息，依據事先設定的過濾規(guī)則，決定是否允許數據包通過。包過濾防火墻主要在網絡層和傳輸層起作用。包頭中的協議類型、源地址、目的地址、TCP/UDP源端口號、TCP/UDP目的端口號、ICMP消息類型以及各種標志位，如TCPSYN標志、TCPACK標志，都可以用作為判定參數。包過濾防火墻通常是具有包過濾功能的路由器，因此也常被稱為篩選路由器或屏蔽路由器（ScreeningRouter）。具有包過濾功能的路由器，可以在網絡接口設置過濾規(guī)則。數據包進出路由器時，路由器依據在數據包出入方向配置的規(guī)則處理數據包。如果匹配數據包的規(guī)則允許數據包發(fā)送，數據包將依據路由表進行轉發(fā)。如果匹配數據包的規(guī)則拒絕數據包發(fā)送，數據包將被直接丟棄。過濾規(guī)則是包過濾防火墻的核心，每條過濾規(guī)則由匹配標準和防火墻操作兩部分組成。匹配規(guī)則一般基于包頭信息，可以是以源地址作為匹配規(guī)則，也可以綜合地址、端口、協議、標識位等信息構建復合規(guī)則。包過濾防火墻執(zhí)行的操作只有允許和拒絕兩種。如果防火墻執(zhí)行允許操作，數據包能夠正常通過防火墻，不受影響。如果防火墻執(zhí)行拒絕操作，數據包將被丟棄，無法到達目的主機。包過濾防火墻正常工作通常需要滿足六項基本要求，即：1）包過濾防火墻必須能夠存儲包過濾規(guī)則。2）當數據包到達防火墻的相應端口時，防火墻能夠分析IP、TCP、UDP等協議報文頭字段。3）包過濾規(guī)則的應用順序與存儲順序相同。4）如果一條過濾規(guī)則阻止某個數據包的傳輸，那么此數據包便被防火墻丟棄。5）如果一條過濾規(guī)則允許某個數據包的傳輸，那么此數據包可以正常通行。6）從安全的角度出發(fā)，如果某個數據包不匹配任何一條過濾規(guī)則，那么該數據包應當被防火墻丟棄。從安全的角度看，包過濾防火墻的默認處理方法應當是拒絕數據包。因為如果采用默認允許的策略，一旦安全管理員考慮不充分，一些需要拒絕的數據包類型沒有以過濾規(guī)則的形式加入ACL，這些數據包將按照默認的允許規(guī)則通過防火墻，對網絡安全構成威脅。包過濾防火墻主要有以下幾方面優(yōu)點。首先，將包過濾防火墻放置在網絡的邊界位置，即可以對整個網絡實施保護。其次，包過濾操作處理速度快、工作效率高，對正常網絡通信的影響小。另外，包過濾防火墻對用戶和應用都透明，內網用戶無需對主機進行特殊設置。包過濾防火墻也存在一些缺陷。首先，包過濾防火墻主要依賴于對數據包網絡層和傳輸層首部信息的判定，不對應用負載進行檢查，判定信息的不足使其難以對數據包進行細致的分析。其次，包過濾防火墻的規(guī)則配置較為困難，特別是對于安全策略復雜的大型網絡，如果包過濾規(guī)則配置不當，防火墻難以有效地進行安全防護。再者，包過濾防火墻支持的規(guī)則數量有限，如果規(guī)則過多，數據包依次與規(guī)則匹配，將降低網絡效率。此外，由于數據包中的字段信息容易偽造，攻擊者可以通過IP欺騙等方法繞過包過濾防火墻，而包過濾防火墻本身難以進行用戶身份認證，這些因素使得攻擊者可能繞過包過濾防火墻實施攻擊。狀態(tài)檢測防火墻狀態(tài)檢測防火墻是一種有狀態(tài)的包過濾防火墻，能夠基于網絡連接狀態(tài)信息進行包過濾。狀態(tài)檢測防火墻在接收到數據包時，將以連接狀態(tài)表為基礎，依據配置的包過濾規(guī)則，判斷是否允許數據包通過，從而更加有效地保護網絡安全。使用狀態(tài)檢測防火墻，提升了攻擊者滲透防火墻進行網絡攻擊的難度。攻擊者發(fā)出的數據包在防火墻的連接狀態(tài)表中如果不存在匹配將無法通過防火墻。攻擊者即使通過網絡嗅探，獲得了能夠通過防火墻的某個TCP連接的具體信息。但是要采用偽造源地址的方法向內網主機發(fā)送數據包，攻擊也很難奏效。與無狀態(tài)防火墻相比，狀態(tài)檢測防火墻能夠提供更全面的日志信息，有助于安全管理員更全面的對網絡通信情況進行分析，及時發(fā)現異常的網絡通信行為。狀態(tài)檢測防火墻在使用中存在一些限制。首先，很多網絡協議沒有狀態(tài)信息，它們不像TCP協議一樣有連接建立、連接維護和連接拆除的具體過程。在這種情況下，只能采用一些變通的方法。其次，一些協議在通信過程中會動態(tài)建立子連接傳輸數據，如FTP協議。FTP的客戶端程序在與服務端的21端口建立連接以后，會指定一個隨機端口作為數據傳輸端口并利用PORT命令告知服務端選擇的端口。對于此類協議，有狀態(tài)的包過濾防火墻必須跟蹤連接信息，掌握子連接使用的端口并在狀態(tài)表中記錄，從而確保子連接能夠通過防火墻。為了建立和管理連接狀態(tài)表，狀態(tài)檢測防火墻需要付出高昂的處理開銷，對硬件設備的性能有更高的要求。應用網關防火墻應用網關防火墻以代理服務器（ProxyServer）為基礎，也常稱為應用級防火墻，或應用代理防火墻，或代理防火墻。代理服務器作用在應用層，通常被稱為應用代理，在內網主機與外網主機之間進行信息交換。如果內網用戶試圖訪問外網服務器，代理服務器在確認內網用戶的訪問請求后，將訪問請求轉發(fā)給外網服務器。外網服務器的響應數據先到達代理服務器，由代理服務器將響應回送給內網用戶。在此過程中，代理服務器位于內網用戶與外網服務器之間，對內網用戶和外網服務器都完全透明。內網用戶認為自己直接和外網服務器進行通信，外網服務器同樣認為自己的通信對象就是一臺普通的客戶機。代理服務器能夠理解應用協議，在數據包到達內網用戶前攔截并進行詳細分析，根據應用上下文對網絡通信進行精準的判定，有助于檢測緩沖區(qū)溢出攻擊、SQL注入攻擊等等應用層攻擊。同時，所有網絡數據包的首部和負載都可以被記錄，從而實現完善的審計?？傮w上看，基于代理服務器的應用網關防火墻由于完整實現了所代理的應用協議，所以能夠對協議報文進行細粒度的監(jiān)控、過濾和記錄。此外，應用網關防火墻還可以對用戶身份進行認證，確保只有允許的用戶才能通過。需要說明的是，很多應用網關防火墻也使用靜態(tài)包過濾、狀態(tài)監(jiān)測技術對網絡流量進行安全檢查。應用網關防火墻也存在一些缺陷，主要表現為以下幾點：1）從能力上看，每種應用服務需要專門的代理模塊進行安全控制，而不同應用服務采用的網絡協議存在較大差異，不能采用統一的方法進行分析，給代理模塊的實現帶來了很大困難。實際應用中，大部分代理服務器只能支持部分應用服務。2）從性能上看，應用網關防火墻的性能往往弱于包過濾防火墻。究其原因，應用代理需要檢查數據負載，分析應用層的內容，而包過濾防火墻只需要檢查數據包包頭信息。對于相同的數據包，應用代理的檢查時間往往要比包過濾防火墻更長。3）從配置和管理的復雜性看，應用網關防火墻需要針對應用服務類型逐一設置，而且管理員必須對應用協議有深入理解，管理的復雜性較高。下一代防火墻Gartner于2009年發(fā)布了《定義下一代防火墻（DefiningtheNext-GenerationFirewall）》研究報告，給出了下一代防火墻定義：一種深度包檢測防火墻，超越了基于端口、協議的檢測和阻斷，增加了應用層的檢測和入侵防護，得到了業(yè)界的認可。下一代防火墻應該具備傳統企業(yè)級防火墻的全部功能，如基礎的包過濾、狀態(tài)檢測、NAT、VPN等，以及面對一切網絡流量時保持高穩(wěn)定性和可用性。此外，下一代防火墻還必須具有以下幾種功能：（1）針對應用、用戶、終端及內容的高精度管控。高精度應用識別和管控是下一代防火墻實現全業(yè)務精準訪問控制的基礎，不僅需要管控平臺化應用的子功能，還需要針對用戶、終端和內容進行高精度的識別控制。（2）外部安全智能。下一代防火墻需要具有與外部云計算聯動的能力，如病毒云查殺，利用大數據分析技術應對新型安全威脅。（3）一體化引擎多安全模塊智能數據聯動。下一代防火墻必須采用面向應用的一體化智能防護引擎架構，基于深層次、高精度的智能流量識別技術，同時具備多個安全模塊，包括入侵防護、病毒防御、僵尸網絡隔離、Web安全防護、數據泄漏防護等，使之能夠全方位地對抗安全威脅，并實現智能的數據聯動以提供更全面的安全決策信息。（4）可視化智能管理。提供簡單的人機交互界面及直觀的異常輸出呈現，降低復雜網絡環(huán)境下的安全配置難度，提升異常輸出的豐富度、友好度以及安全事件溯源的速度。三、防火墻的體系結構（一）相關概念1.堡壘主機。堡壘主機是指經過安全增強的網絡主機，允許外網主機訪問并可向外網提供一些網絡服務（即作為應用代理），亦可訪問內網，同時對經過本機的內、外網的網絡流量進行安全檢查、控制、審計等。堡壘主機的安全加固措施主要包括：使用安全性較高的操作系統，及時安裝補丁程序；關閉非必需的服務；避免使用不必要的軟件；禁用不必要的賬戶；有限制地訪問磁盤，避免被植入惡意程序。通過這些舉措來增強堡壘主機的安全，防止其被攻擊者控制。2.安全域。安全域是指具有相同安全要求的網絡區(qū)域。通常情況下，防火墻將網絡區(qū)域按安全等級劃分成5種，安全等級從低到高分別是：不信任域（untrustzone）、非軍事化區(qū)或隔離區(qū)或中立區(qū)（DemilitarizedZone，DMZ）、信任域（trustzone）、本地域（localzone）、管理域（managementzone）。不信任域的安全等級最低，通常將外網，如Internet定義為不信任域。同一安全域內的網絡主機可以相互通信，而不同安全域之間的通信則需要在防火墻安全策略允許的情況下才能進行。防火墻體系結構定義為：防火墻的所有網絡安全域以及域間通信控制策略的集合，即防火墻體系結構決定了防火墻支持的網絡安全域的種類，以及如何控制不同安全域之間的通信。（二）屏蔽路由器結構屏蔽路由器結構（ScreeningRouterArchitecture），也稱為包過濾路由器結構。在這種結構中，除防火墻自身的安全域外，只有兩類安全域：不信任域和信任域，分別對應外網（互聯網）和內網。防火墻采用包過濾技術對內外網之間的所有通信進行檢查、過濾。屏蔽路由器結構具有硬件成本低、結構簡單，易于部署的優(yōu)點。要確保防護體系的功能充分發(fā)揮，包過濾防火墻是首要的保護對象，要避免其被攻擊者控制。由于包過濾防火墻通常在路由器上實現，而路由器對外提供的網絡服務數量很少，因此，包過濾防火墻的防護相對于一般主機的防護而言，簡單易于實施。屏蔽路由器結構作為最簡單的一種防火墻結構，完全依賴核心組件包過濾路由器，一旦包過濾路由器工作異常則防火墻將失效。如果包過濾路由器配置不當，將導致惡意流量通過。若包過濾路由器被攻擊者控制，攻擊者能夠隨意修改防火墻的過濾規(guī)則。此外，包過濾路由器的日志記錄功能較弱，無法進行用戶身份認證。（三）雙宿主機結構在雙宿主機結構（Dual-HomedHostArchitecture）中，防火墻連接的網絡區(qū)域也分為不信任域和信任域，不同之處在于防火墻運行平臺是一臺雙宿堡壘主機，而不是包過濾路由器，這種結構也稱為雙宿堡壘主機結構。堡壘主機的兩個網絡接口分別與受保護的內網和存在安全威脅的外部網絡（互聯網）相連。在雙宿主機結構中，堡壘主機上運行應用網關防火墻軟件，在內外網之間轉發(fā)網絡應用數據包，以及提供一些設定的網絡服務。內外網主機無法直接通信，所有的通信數據經由堡壘主機轉發(fā)，堡壘主機可以監(jiān)視內外網之間的所有通信。如果禁止路由功能，堡壘主機連接的2個網絡無法通過該主機相互通信，但是每個網絡都可以訪問堡壘主機提供的網絡服務。雙宿主機結構的主要缺點在于這種體系結構的核心防護點是雙宿堡壘主機，一旦堡壘主機被攻擊者成功控制，那么外網主機將可以直接訪問內部網絡，防火墻的防護功能完全喪失。（四）屏蔽主機結構屏蔽主機結構（ScreenedHostArchitecture）是屏蔽路由器結構和雙宿主機結構的有機組合，利用具有包過濾功能的路由器將堡壘主機與外部互聯網（不信任域）相連。通常在包過濾路由器上配置過濾規(guī)則，限定外網主機只能直接訪問堡壘主機，無法直接訪問內網其它主機。內、外網之間的通信都經由堡壘主機轉發(fā)。屏蔽主機結構中，堡壘主機必須部署在包過濾防火墻之后，因為包過濾路由器可以對堡壘主機和內網的其他主機實施安全防護。如果兩者位置對調，堡壘主機直接與互聯網相連，包過濾路由器與內部網絡相連，必須允許堡壘主機與內網主機相互通信。一旦堡壘主機被攻擊者控制，攻擊者可以利用堡壘主機直接訪問內部網絡，包過濾路由器也就無法發(fā)揮對內網的防護作用，整個體系結構等同于雙宿主機結構。屏蔽主機結構的優(yōu)點主要有兩方面。首先，無論內部網絡如何變化都不會對包過濾路由器和堡壘主機的配置產生影響。其次，安全風險主要集中在包過濾路由器和堡壘主機，只要這兩個組件本身不存在漏洞并且配置完善，攻擊者很難對內部網絡實施攻擊。屏蔽主機結構也存在一些缺陷。首先，堡壘主機的安全性非常關鍵。其次，包過濾路由器也必須保證安全。一旦包過濾路由器被攻擊者掌控，攻擊者的攻擊數據包可以繞過堡壘主機威脅內網安全。（五）屏蔽子網結構屏蔽子網結構（ScreenedSubnetArchitecture）在幾種防火墻體系結構中具有最高的安全性。在安全域的劃分上，除了不信任的外網和信任的內網外，屏蔽子網結構增加了DMZ域。此外，該結構用兩臺包過濾路由器將DMZ中的主機與內部網絡和外部網絡分割開來。內網主機和外網主機均可以對被隔離的子網（DMZ）進行訪問，但是禁止內、外網主機穿越子網直接通信。在被隔離的子網中，除了包過濾路由器之外至少包含一臺堡壘主機（單宿或雙宿），該堡壘主機作為應用網關防火墻，在內外網之間轉發(fā)通信數據。DMZ區(qū)的堡壘主機是內、外網通信的唯一通道。因此，通過對堡壘主機進行配置，可以細粒度地設定內外網之間允許哪些網絡通信。內部包過濾路由器的防護功能主要體現在兩個方面。首先，內部包過濾路由器可以使內部網絡避免遭受源于外網和DMZ區(qū)的侵擾。其次，以規(guī)則的形式限定內網主機只能經由DMZ區(qū)的堡壘主機訪問外部網絡。對于這種屏蔽子網結構，黑客要侵入內網，必須攻破外部包過濾路由器，設法侵入DMZ區(qū)的堡壘主機。由于內網中主機之間的通信不經過DMZ區(qū)，因此，即使黑客侵入堡壘主機，也無法獲取內網主機間的敏感通信數據。黑客只有在控制內部包過濾路由器后，才能進入內網實施破壞。屏蔽子網結構增加了外網攻擊者實施攻擊的難度，安全性高。其主要缺點是管理和配置較為復雜，只有在兩臺包過濾路由器和一臺堡壘主機都配置完善的條件下，才能充分發(fā)揮安全防護作用。防火墻的部署方式防火墻有多種部署方式，常見的有透明模式、網關模式和NAT模式等。透明模式，也稱為“橋接模式”或“透明橋接模式”。當防火墻處于“透明”模式時，防火墻只過濾通過的數據包，但不會修改數據包包頭中的任何信息，其作用更像是處于同一VLAN的2層交換機或者橋接器，防火墻對于用戶來說是透明的。透明模式的優(yōu)點包括無需改變原有網絡規(guī)劃和配置；當對網絡進行擴容時也無需重新規(guī)劃網絡地址，不足之處在于靈活性不足，也無法實現更多的功能，如路由、網絡地址轉換等。網關模式，也稱為“路由模式”。當防火墻工作在“網關”模式時，其所有網絡接口都處于不同的子網中。防火墻不僅要過濾通過的數據包，還需要根據數據包中的IP地址執(zhí)行路由功能。防火墻在不同安全區(qū)間轉發(fā)數據包時，一般不會改變IP數據包包頭中的源地址和端口號。網關模式適用于內外網不在同一網段的情況，防火墻一般部署在內網，設置網關地址實現路由器的功能，為不同網段進行路由轉發(fā)。網關模式相比透明模式具備更高的安全性，在進行訪問控制的同時實現了安全隔離，對內網提供了一定的機密性保護。NAT模式下，防火墻不僅要對通過的數據包進行安全檢查，還需執(zhí)行網絡地址轉換功能：對內部網絡的IP地址進行地址翻譯，使用防火墻的IP地址替換內部網絡的源地址向外部網絡發(fā)送數據；當外部網絡的響應數據流量返回到防火墻后，防火墻再將目的地址替換為內部網絡的源地址。NAT模式使用地址轉換功能可確保外部網絡不能直接看到內部網絡的IP地址，進一步增強了對內部網絡的安全防護。同時，在NAT模式的網絡中，內部網絡可以使用私有地址，進而解決IP地址數量不足的問題。NAT模式可以適用于所有網絡環(huán)境，為被保護網絡提供的安全保障能力也最強。實際應用中，一個網絡常常同時采用多種模式部署防火墻。防火墻的評價標準防火墻產品除了在處理器類型、內存容量、網絡接口、存儲容量等硬件參數方面存在差異之外，還有一些重要的評價指標常常用于衡量防火墻性能，是防火墻選購時的重要參考因素，主要包括并發(fā)連接數、吞吐量、時延、丟包率、背靠背緩沖、最大TCP連接建立速率等。1.并發(fā)連接數并發(fā)連接數（ConcurrentConnections）指的是內網和外網之間穿越防火墻能夠同時建立的最大連接數量。這里的連接指的是網絡會話，泛指IP層及IP層以上的通信信息流。并發(fā)連接數用于衡量防火墻對業(yè)務信息流的處理能力，具體表現為防火墻設備對多個網絡連接的訪問控制能力和連接狀態(tài)跟蹤能力。首先，并發(fā)連接數取決于防火墻設備內并發(fā)連接表的大小。所謂并發(fā)連接表，指的是防火墻用以保存并發(fā)連接信息的表結構，位于防火墻的系統內存。由于通過防火墻的連接要在并發(fā)連接表中保存相應記錄，因此，防火墻能夠支持的最大并發(fā)連接數受限于并發(fā)連接表的大小。并發(fā)連接表也不是越大越好，并發(fā)連接表越大意味著占用更多的內存資源。其次，并發(fā)連接數的增長需要充分考慮防火墻的CPU處理能力。防火墻CPU肩負著把一個網段的數據包盡快轉發(fā)到另外一個網段的任務，在轉發(fā)過程中CPU需要遵從設定的訪問控制策略進行許可判斷、流量統計以及審計記錄等操作。如果隨意提高防火墻的并發(fā)連接數，CPU的工作負荷將增大。如果CPU的處理能力跟不上并發(fā)連接數的增長，數據包到達防火墻后排隊等待處理的時間將延長，可能使一些數據包超時重傳。2.吞吐量按照IETFRFC1242中的描述，吞吐量（throughput）指的是在保證不丟失數據幀的情況下，防火墻設備能夠達到的最大數據幀轉發(fā)速率。防火墻的吞吐量通常以比特/秒或字節(jié)/秒表示。防火墻設備有固定的吞吐量測試流程。以一定的速率向待測的防火墻設備發(fā)送數據幀，如果發(fā)送給設備的數據幀與設備轉發(fā)出去的數據幀數量相同，則提高發(fā)送速率重新進行測試；如果發(fā)送給設備的數據幀比設備轉發(fā)出去的數據幀數量多，則適當降低發(fā)送速率重新測試。逐步調整數據幀的發(fā)送速率，直到得出最終結果。防火墻的吞吐量大小主要由防火墻網卡以及程序算法的效率決定。特別是程序算法，決定了防火墻如何判斷數據是否符合安全策略。如果程序算法設計不合理，時間復雜度過高，將浪費大量計算資源，防火墻難以快速轉發(fā)數據幀。3.時延防火墻的時延指的是數據包的第一個比特進入防火墻，到最后一個比特從防火墻輸出的時間間隔。在實際應用中，時延主要源于防火墻對數據包進行排隊、檢測、日志、轉發(fā)等動作所需的處理時間。防火墻的時延體現了防火墻的處理速度，時延短通常說明防火墻處理數據的速度快。防火墻時延測試的基本方法是計算數據包從防火墻的一個端口進入到其從相應端口輸出的時間。防火墻時延測試必須在防火墻的吞吐量范圍之內進行，如果發(fā)送速率超過了防火墻的吞吐量，防火墻出現大量丟包，表現很不穩(wěn)定，測試結果將失去意義。4.丟包率按照IETFRFC1242中的定義，防火墻的丟包率（PacketLossRate）指在網絡狀態(tài)穩(wěn)定的情況下，應當被轉發(fā)但由于防火墻設備缺少資源而沒有轉發(fā)、被防火墻丟棄的數據包在全部發(fā)送數據包中所占的比率。丟包率體現了防火墻的穩(wěn)定性和可靠性。5.背靠背緩沖背靠背緩沖是指防火墻接收到以最小數據幀間隔傳輸的數據幀時，在不丟棄數據的情況下，能夠處理的最大數據幀數目。防火墻的這項參數體現了防火墻的緩沖容量。如果防火墻的處理能力相當高，那么背靠背緩沖的作用相對較小。因為當數據發(fā)送速度過快而防火墻來不及處理時，數據才需要進行緩存。如果防火墻本身具有很強的處理能力，能夠迅速處理并轉發(fā)數據包，防火墻甚至可以不需要進行數據緩沖。6.最大TCP連接建立速率防火墻的最大TCP連接建立速率指的是在所有TCP連接成功建立的前提下，防火墻能夠達到的最大連接建立速率。這項指標由防火墻CPU的資源調度能力決定，體現了防火墻對連接請求的實時處理能力，最大TCP連接建立速率越大，防火墻性能越好，能夠快速處理連接請求，并能夠快速轉發(fā)數據。7.應用識別及分析能力對應用網關防火墻而言，關鍵的性能指標不再是網絡層吞吐量，而是應用識別及分析，主要體現在防火墻能夠劫持網絡應用的數量，應用識別和控制的粒度，以及應用特征庫的更新速度。8.其他指標在防火墻的選擇過程中，還需要考慮其他一些因素，主要包括：1)防火墻產品的功能。防火墻是采用無狀態(tài)的包過濾技術，還是有狀態(tài)的包過濾技術，或者是采用應用網關技術。防火墻的日志和報警功能是否齊備。2)防火墻產品的可管理性。防火墻的用戶界面是否友好，防火墻功能配置和管理是否操作簡單，這些都是選擇防火墻時需要考慮的要素。同時，隨著下一代防火墻提供的功能越來越多，可視化管理非常重要。3)防火墻產品本身的安全性能。防火墻要保護內部網絡的安全，必須首先確保自身的安全性。選擇防火墻要考慮防火墻采用的操作系統平臺的安全性、防火墻的抗攻擊能力、防火墻的冗余設置等等指標。防火墻技術的不足與發(fā)展趨勢（一）防火墻的局限防火墻技術并不能解決所有網絡安全問題，它在安全防護方面的局限主要表現為以下幾點。1）防火墻的防護并不全面。一方面，攻擊者可以采用偽造數據包的方法，生成防火墻過濾規(guī)則允許的攻擊數據包，繞過防火墻的監(jiān)控。另一方面，防火墻產品本身可能存在漏洞。再者，防火墻位于被保護網絡的邊界位置，如果內網中有用戶實施攻擊，防火墻無法察覺此類攻擊行為。2）防火墻所發(fā)揮的安全防護作用在很大程度上取決于防火墻的配置是否正確、完善。防火墻只是一個被動的安全策略執(zhí)行設備。如果防火墻體系結構不合理，或者安全規(guī)則與網絡安全策略不匹配，防火墻將無法發(fā)揮防護作用。3）一些利用系統漏洞或者網絡協議漏洞進行的攻擊，防火墻難以防范，同時防火墻本身也可能存在安全漏洞。攻擊者漏洞挖掘的能力不斷提升，很多信息系統的廠商沒有投入足夠的精力提高產品的安全性，不少知名軟硬件產品都被發(fā)現存在安全漏洞。4）防火墻不能防止病毒、木馬等惡意代碼的網絡傳輸。防火墻本身不具備查殺病毒的功能，即使一些防火墻產品集成了第三方的防病毒軟件，因處理能力的限制以及性能上的考慮，防火墻對惡意代碼的查殺能力也非常有限。5）網絡寬帶化的進程加速，防火墻的處理能力難以與之適應。帶寬的增長意味著防火墻需要檢查的網絡數據迅猛增加，防火墻的處理負擔加重。大部分防火墻以高強度的檢查作為安全防護的代價，檢查強度越高，計算開銷也就越大。防火墻的發(fā)展防火墻技術處于不斷發(fā)展當中，防火墻產品目前主要朝著高性能、多功能、智能化、協作化、更安全的方向發(fā)展，一些新技術已應用于前面介紹的下一代應用網關防火墻中。1）高性能。高性能防火墻是未來的發(fā)展趨勢，特別