1、 吞吐量:很重要。该指标直接影响网络的性能,吞吐量
2、 时延:很重要。入口处输入帧后1个比特到达至出口处输出帧的第1个比特输出所用的时间间隔
3、 丢包率:在稳态负载下,应由网络设备传输,但由于资源投入而被丢弃的帧的百分比。现在性能发展了,这种情况已经较少了。
4、 背靠背:从空闲状态开始,以达到传输介质合法间隔极限的传输速率发送相当数量的固定长度的帧,当出现个帧丢失时,发送的帧数现在性能发展了,这种情况已经较少了。
5、 并发连接数:很重要。并发连接数是指穿越防火墙的主机之间或主机防火墙之间能同时建立的连接数
6、 每秒新建连接数:很重要。1秒之内能够新建的连接数量,体现了防火墙的反应能力或者说是灵敏度。
吞吐量
1、 定义:在不丢包的情况下能够达到的速率
2、 衡量标准:吞吐量越大,防火墙的性能越高
防火墙通俗讲是用于控网络之间的隔离,***讲是用于保护一个安全区域免受另外一个安全区域的网络攻击和入击行为。什么是安全区域呢?安全区域,也称为区域,是一个逻辑概念,用于管理防火墙设备上安全需求相同的多个接口,也就是说它是一个或多个接口的集合。管理员将安全需求相同的接口进行分类,cisco 下一代防火墙,并划分到不同的安全域,能够实现安全策略的统一管理。
讲安全区域前讲我们先了解一个术语,安全级别(Security Level),在华为防火墙上,每个安全区域都有一个安全级别,用1-100 的字表示,珠海下一代防火墙,数字越大,则代表该区域内的网络越可信。对于默认的安全区域,它们的安全级别是固定的:Local 区域的安全级别是100,Trust 区域的安全级别是85,DMZ 区域的安全级别是50,Untrust 区域的安全级别是5。
华为防火墙默认预定义了四个固定的安全区域,分别为:
Trust:该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。
Untrust:该区域代表的是不受信任的网络,通常用来定义Internet 等不安全的网络。
DMZ:该区域内网络的受信任程度中等,通常用来定义内部服务器(公司OA系统,ERP系统等)所在的网络。
Local:防火墙上提供了Local 区域,代表防火墙本身。比如防火墙主动发起的报文(我们在防火墙执行ping测试)以及抵达防火墙自身的报文(我们要网管防火墙telnet、ssh、http、https)。
Local 区域中不能添加任何接口,但防火墙上所有接口本身都隐含属于Local 区域。也就是说,报文通过接口去往某个网络时,目的安全区域是该接口所在的安全区域;报文通过接口到达防火墙本身时,目的安全区域是Local 区域。
文件过滤能够识别出通过NGFW的文件的真实类型,并可以根据文件的真实类型对文件进行过滤。那什么是文件的真实类型呢?举个例子来说,一个Word文件file.doc可以将文件名修改为file.exe,但是它的真实文件类型仍然为doc。另外文件过滤同时也能够识别出文件的扩展名(后缀名)。当文件的真实类型无法识别时,NGFW还可以根据文件的扩展名对文件进行过滤。
那么文件过滤功能为什么能够降低私有数据***的风险呢?因为私有信息一般保存在文档中,而且文档还可以被压缩形成压缩文件。如下图所示,内部员工上传包含秘密的文档到外网或者骇客从内网服务器偷窃秘密文档,都会导致公司秘要或用户信息的***。所以通过文件过滤功能阻止内网用户上传文档文件和压缩文件到外网,深信服下一代防火墙,以及阻止外网用户从内网服务器获取文档文件和压缩文件,可以大大降低秘密信息***的风险。
文件过滤功能还可以降低病毒文件进入公司内部网络的风险。因为病毒常常包含在可执行文件中,且病毒的反检测和渗透防火墙的能力越来越强。所以阻止内网用户从外网获取可执行文件或阻断外网用户上传可执行文件到内网服务器,可以大大降低病毒进入内网的风险,锐捷下一代防火墙,如上图所示。
另外文件过滤功能还能够阻止占用带宽和影响员工工作效率的文件传输。因为公司员工获取大量与工作无关的视频和图片文件,会占用公司网络带宽,降低工作效率。所以如上图所示,阻止内网用户从外网获取视频、图片和压缩文件,可以保证正常业务的带宽和员工的工作效率。
文件过滤是对针对文件类型进行过滤,也就是会整体过滤掉某个类型的文件。然而在实际应用中,整体过滤掉一类文件虽然可以降低泄密风险,但也会妨碍正常的工作生活。所以这时我们就需要配合内容过滤功能,以便更精细的识别和过滤文件的内容。
版权所有©2025 产品网
