防火墙按照功能和级别的不同,一般分类这么三类:滤型防火墙、状态检测型防火墙、代理型防火墙。
1:滤型防火墙这种防火墙只能实现基础的滤功能,按照既定的访问控制列表对数据包的三、四层信息进行控制,详细一点就是:三层信息:源IP地址,目标IP地址
四层信息:源端口,目标端口这种情况其实用一个路由器或者三层交换机,配置***就能实现。
只有符合了条件的数据包才能被放行,不符合条件的数据包无论如何都不会被放行。但是滤型防火墙的性质就是那么“教条”与“顽固不化”!
2:状态检测型防火墙状态检测型防火墙就是为了解决“傻~”的滤型防火墙而存在的。它比滤型防火墙还多了一层“状态检测”功能。
状态化检测型防火墙可以识别出主动流量和被动流量,如果主动流量是被允许的,那么被动流量也是被允许的。
例如TCP的三次握手中,次流量是主动流量,从内到外,第二次流量就是从外到内的被动流量,这可以被状态监测型防火墙识别出并且放行。
状态监测型防火墙会有一张“连接表”,里面记录合法流量的信息。当被动流量弹回时,cisco 下一代防火墙,防火墙就会检查“连接表”,只要在“连接表”中查到匹配的记录,就会放行这个流量。
随着计算机硬件的不断提升,运营商网络不断的扩容,我们的防火墙逐渐在线上增加,依靠抢占带宽制造的流量型攻击效果越来越差。黑hei客们开始寻求新的突破,转而向上进行应用层的攻击,应用层攻击逐渐变为黑hei客的焦点。应用层攻击比传输层攻击对于目标服务器造成更大的伤害。比如大型网站动态数据库链接的不断调用会比SYN Flood更加消耗系统的资源。
2009年5月19日晚,华为下一代防火墙报价,江苏、安徽、广西、海南、甘肃、浙江等6省,佛山下一代防火墙,分别报告省内域名递归解析服务因大量DNS请求陆续出现故障,其他多个省市则报告互联网域名解析服务出现异常,互联网运行受到严重影响,网络长时间处于断网状态。
让我们来回顾一下这次攻击事件的过程。5月19日事发当晚,攻击者受利益驱使,对其他游戏“私si服”网站的域名解析服务器DNSPod实施攻击,攻击流量超过10G,导致DNSPod域名解析服务瘫痪。而DNSPod同时为暴风影音公司网站提供域名解析服务。
由于暴风影音软件中,有一项强制随机启动的名为stormliv.exe的进程,只要用户安装了暴风影音,该进程就会自动运行,并不断连接暴风影音网站,下xia载广告或升级。因此,当DNSPod服务器被攻瘫痪时,数以千万计的暴风影音用户就充当了“肉鸡”,向运营商DNS递归服务器发送大量请求,DNS访问流量瞬间就超过30G,导致了本次重大网络安全事件。
随后,公gong安***介入调查,攻击者于5月29日被抓获。调查发现,他们长期在互联网上经营游戏“私si服”,并租用服务器专门协助他人攻击其他游戏“私si服”网站以谋取利益。
由此可见,应用层攻击造成的伤害是巨大的,直接会影响到我们的正常生活,加强应用层攻击防御刻不容缓。
1、 吞吐量:很重要。该指标直接影响网络的性能,吞吐量
2、 时延:很重要。入口处输入帧后1个比特到达至出口处输出帧的第1个比特输出所用的时间间隔
3、 丢包率:在稳态负载下,应由网络设备传输,但由于资源投入而被丢弃的帧的百分比。现在性能发展了,这种情况已经较少了。
4、 背靠背:从空闲状态开始,以达到传输介质合法间隔极限的传输速率发送相当数量的固定长度的帧,当出现个帧丢失时,发送的帧数现在性能发展了,下一代防火墙 选型,这种情况已经较少了。
5、 并发连接数:很重要。并发连接数是指穿越防火墙的主机之间或主机防火墙之间能同时建立的连接数
6、 每秒新建连接数:很重要。1秒之内能够新建的连接数量,体现了防火墙的反应能力或者说是灵敏度。
吞吐量
1、 定义:在不丢包的情况下能够达到的速率
2、 衡量标准:吞吐量越大,防火墙的性能越高
版权所有©2025 产品网
