防火墙功能指标详解

  产物类型
  从防火墙产物和技术发展来看，分为三品种型：基于路由器的包过滤防火墙、基于通用操纵系统的防火墙、基于公用宁静操纵系统的防火墙。
  LAN接口
  列出支持的LAN接口类型：防火墙所能掩护的网络类型，如以太网、疾速以太网、千兆以太网、ATM、令牌环及FDDI等。
  支持的最大LAN接口数：指防火墙所支持的局域网络接口数量，也是其可以或许掩护的差别内网数量。
  办事器平台：防火墙所运转的操纵系统平台(如Linux、UNIX、Win NT、公用宁静操纵系统等)。
  协议支持
  支持的非IP协议：除支持IP协议之外，又支持AppleTalk、DECnet、IPX及NETBEUI等协议。
  创建VPN通道的协议： 构建VPN通道所利用的协议，如密钥分配等，重要分为IPSec，PPTP、公用协议等。
  可以在VPN中利用的协议：在VPN中利用的协议，一样平常是指TCP/IP协议。
  加密支持
  支持的VPN加密标准：VPN中支持的加密算法, 例如数据加密标准DES、3DES、RC4以及国内公用的加密算法。
  除了VPN之外，加密的其他用处： 加密除用于掩护传输数据以外，还应用于其他范畴，如身份认证、报文完整性认证，密钥分配等。
  提供基于硬件的加密： 是否提供硬件加密要领，硬件加密可以提供更快的加密速率和更高的加密强度。
  认证支持
  支持的认证类型： 是指防火墙支持的身份认证协议，一样平常环境下具有一个或多个认证方案，如RADIUS、Kerberos、TACACS/TACACS＋、 口令方法、数字证书等。防火墙可以或许为本地或远程用户提供颠末认证与受权的对网络资源的访问，防火墙管理员必须决定客户以何种方法通过认证。
  列出支持的认证标准和CA互操纵性：厂商可以选择自己的认证方案，但应符合相应的国际标准，该项指所支持的标准认证协议，以及完成的认证协议是否与其他CA产物兼容互通。
  支持数字证书：是否支持数字证书。
  访问控制
  通过防火墙的包内容设置：包过滤防火墙的过滤规矩集由若干条规矩构成，它应涵盖对全部出入防火墙的数据包的处置惩罚要领，对于没有明白定义的数据包，应该有一个缺省处置惩罚要领；过滤规矩应易于明白，易于编辑修正；同时应具备同等性检测机制，防止辩论。IP包过滤的根据重要是根据IP包头部信息如源地址和目标地址举行过滤，如果IP头中的协议字段表明封装协议为ICMP、TCP或UDP，那么再根据ICMP头信息(类型和代码值)、TCP头信息(源端口和目标端口)或UDP头信息(源端口和目标端口)执行过滤，其他的还有MAC地址过滤。应用层协议过滤要求重要包括FTP过滤、基于RPC的应用办事过滤、基于UDP的应用办事过滤要求以及动态包过滤技术等。
  在应用层提供署理支持：指防火墙是否支持应用层署理，如HTTP、FTP、TELNET、SNMP等。署理办事在确认客户端连接恳求有用后接受连接，代为向办事器发出连接恳求，署理办事器应根据办事器的应答，决定怎样响应客户端恳求，署理办事进程该当连接两个连接(客户端与署理办事进程间的连接、署理办事进程与办事器端的连接)。为确认连接的唯一性与时效性，署理进程该当维护署理连接表或相干数据库(最小字段聚集)，为提招供证和受权，署理进程该当维护一个扩展字段聚集。
  在传输层提供署理支持：指防火墙是否支持传输层署理办事。
  容许FTP命令防止某些类型文件通过防火墙：指是否支持FTP文件类型过滤。
  用户操纵的署理类型：应用层高级署理功能，如HTTP、POP3 。
  支持网络地址转换(NAT)：NAT指将一个IP地址域映射到另一个IP地址域，从而为终端主机提供通明路由的要领。NAT常用于私有地址域与公有地址域的转换以解决IP地址匮乏问题。在防火墙上完成NAT后，可以隐藏受掩护网络的外部结构，在一定水平上提高了网络的宁静性。
  支持硬件口令、智能卡： 是否支持硬件口令、智能卡等，这是一种比力宁静的身份认证技术。
  防备功能
  支持病毒扫描： 是否支持防病毒功能，如扫描电子邮件附件中的DOC和ZIP文件，FTP中的下载或上载文件内容，以发明其中包含的伤害信息。
  提供内容过滤： 是否支持内容过滤，信息内容过滤指防火墙在HTTP、FTP、SMTP等协议层，根据过滤条件，对信息流举行控制，防火墙控制的结果是：容许通过、修正后容许通过、克制通过、记载日记、报警等。 过滤内容重要指URL、HTTP携带的信息：Java Applet、 JavaScript、ActiveX和电子邮件中的Subject、To、From域等。
  能防备的DoS打击类型：拒绝办事打击(DoS)就是打击者过多地占用共享资源，导致办事器超载或系统资源耗尽，而使其他用户无法享有办事或没有资源可用。防火墙通过控制、检测与报警等机制，可在一定水平上防止或加重DoS黑客打击。
  阻止ActiveX、Java、Cookies、Javascript侵入：属于HTTP内容过滤，防火墙应该可以或许从HTTP页面剥离Java Applet、ActiveX等小步伐及从Script、PHP和ASP等代码检测出伤害代码或病毒，并向浏览器用户报警。同时，可以或许过滤用户上载的CGI、ASP等步伐，当发明伤害代码时，向办事器报警。
  宁静特性
  支持转发和跟踪ICMP协议(ICMP 署理)：是否支持ICMP署理，ICMP为网间控制报文协议。
  提供入侵实时告诫：提供实时入侵告警功能，当产生伤害变乱时，是否可以或许及时报警，报警的方法可能通过邮件、呼机、手机等。
  提供实时入侵防范：提供实时入侵响应功能，当产生入侵变乱时，防火墙可以或许动态响应，调解宁静策略，拦截歹意报文。
  识别/记载/防止计划举行IP地址欺骗：IP地址欺骗指利用伪装的IP地址作为IP包的源地址对受掩护网络举行打击，防火墙应该可以或许克制来自外部网络而源地址是外部IP地址的数据包通过。
  管理功能
  通过集成策略会合管理多个防火墙：是否支持会合管理，防火墙管理是指对防火墙具有管理权限的管理员举动和防火墙运转状态的管理，管理员的举动重要包括：通过防火墙的身份辨别，编写防火墙的宁静规矩，配置防火墙的宁静参数，查看防火墙的日记等。防火墙的管理一样平常分为本地管理、远程管理和会合管理等。
  提供基于时间的访问控制：是否提供基于时间的访问控制。
  支持SNMP监视和配置：SNMP是简单网络管理协议的缩写。
  本地管理：是指管理员通过防火墙的Console口或防火墙提供的键盘和显示器对防火墙举行配置管理。
  远程管理：是指管理员通过以太网或防火墙提供的广域网接口对防火墙举行管理，管理的通讯协议可以基于FTP、TELNET、HTTP等。
  支持带宽管理：防火墙可以或许根据当前的流量动态调解某些客户端占用的带宽。
  负载均衡特性：负载均衡可以看成动态的端口映射，它将一个外部地址的某一TCP或UDP端口映射到一组外部地址的某一端口，负载均衡重要用于将某项办事(如HTTP)分摊到一组外部办事器上以均衡负载。
  失败恢复特性(failover)：指支持容错技术，如双机热备份、妨碍恢复，双电源备份等。
  记载和报表功能
  防火墙处置惩罚完整日记的要领：防火墙划定了对于符合条件的报文做日记，应该提供日记信息管理和存储要领。
  提供自动日记扫描：指防火墙是否具有日记的自动分析和扫描功能，这可以得到更细致的统计结果，达到事后分析、亡羊补牢的目标。
  提供自动报表、日记报告书写器：防火墙完成的一种输出方法，提供自动报表和日记报告功能。
  告诫通知机制：防火墙应提供告警机制，在检测到入侵网络以及设置装备摆设运转非常环境时，通过告警来通知管理员采取必要的步伐，包括E－mail、呼机、手机等。
  提供简要报表(根据用户ID或IP 地址)：防火墙完成的一种输出方法，按要求提供报表分类打印。
  提供实时统计：防火墙完成的一种输出方法，日记分析后所得到的智能统计结果，一样平常是图表显示。
  列出得到的国内有关部分许可证类别及号码：这是防火墙及格与贩卖的关键要素之一，其中包括：公安部的贩卖许可证、国家书息宁静测评中心的认证证书、总参的国防通讯中计证和国家失密局的保举证明等。
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：