防火牆選型考慮因素

前不久有朋友說一個穩定的服務器環境是要有強大的防火牆保護的，這個防火牆到底要多強大才算安全，一個良好的防火牆應該考慮哪些因素，回來查了一些資料和本身的見解，列舉以下，若有不全或不對，請多指點。

 

 性能 

  防火牆的性能對於一個防火牆來講是相當重要的，它決定了每秒鐘可能經過防火牆的最大數據流量，以bps爲單位。從幾十兆到幾百兆不等，千兆防火牆還會達到幾個G的性能。

 

工做模式 

  目前市面上的防火牆都會具有三種不一樣的工做模式，路由模式、NAT模式還有透明模式。 

  透明模式時，防火牆過濾經過防火牆的封包，而不會修改數據包包頭中的任何源或目的地信息。全部接口運行起來都像是同一網絡中的一部分。此時防火牆的做用更像是Layer 2(第2層)交換機或橋接器。在透明模式下，接口的IP地址被設置爲0.0.0.0，防火牆對於用戶來講是可視或"透明"的。 處於"網絡地址轉換(NAT)"模式下時，防火牆的做用與Layer 3(第3層)交換機(或路由器)類似，將綁定到外網區段的IP封包包頭中的兩個組件進行轉換：其源IP地址和源端口號。防火牆用目的地區段接口的IP地址替換髮送封包的主機的源IP地址。另外，它用另外一個防火牆生成的任意端口號替換源端口號。   路由模式時，防火牆在不一樣區段間轉發信息流時不執行NAT；即，當信息流穿過防火牆時，IP封包包頭中的源地址和端口號保持不變。與NAT不一樣，不須要爲了容許入站會話到達主機而創建路由模式接口的映射和虛擬IP地址。與透明模式不一樣，內網區段中的接口和外網區段中的接口在不一樣的子網中。   

 

管理界面 

  管理一個防火牆的方法通常來講是兩種：圖形化界面和命令行界面 

  圖形界面最多見的方式是經過web方式(包括http和https)和java等程序編寫的界面進行遠程管理；命令行界面通常是經過console口或者telnet/ssh進行遠程管理。   接口 

  防火牆的接口也分爲以太網口(10M)、快速以太網口(10/100M)、千兆以太網口(光纖接口)三種類型。防火牆通常都預先設有具備內網口、外網口和DMZ區接口和默認規則，有的防火牆也預留了其它接口用於用戶自定義其它的獨立保護區域。防火牆上的RS232 Console口主要用於初始化防火牆時的進行基本的配置或用於系統維護。另外有的防火牆還有可能提供PCMCIA插槽、IDS鏡像口、高可用性接口(HA)等，這些是根據防火牆的功能來決定的。

 

 

未完！！

 

文章來源：http://blog.sina.com.cn/u/5212896346

 

柒天：2954598210