防火墙是指

1/9

防火墙类型

目前市场的防火墙产品非常之多，划分的标准也比较杂。主要分类如下：

1.从软、硬件形式上分为

软件防火墙和硬件防火墙以及芯片级防火墙。

2.从防火墙技术分为

“包过滤型”和“应用代理型”两大类。

3.从防火墙结构分为

单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。

4.按防火墙的应用部署位置分为

边界防火墙、个人防火墙和混合防火墙三大类。

5.按防火墙性能分为

百兆级防火墙和千兆级防火墙两类。

并发连接数

并发连接数是指防火墙或代理服务器对其业务信息流的处理能力，是防火墙能够同时处理的点对点连

接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大

小直接影响到防火墙所能支持的最大信息点数。

并发连接数是衡量防火墙性能的一个重要指标。在目前市面上常见防火墙设备的说明书中大家可以

看到，从低端设备的500、1000个并发连接，一直到高端设备的数万、数十万并发连接，存在着好几

个数量级的差异。那么，并发连接数究竟是一个什么概念呢？它的大小会对用户的日常使用产生什么

影响呢？要了解并发连接数，首先需要明白一个概念，那就是“会话”。这个“会话”可不是我们平时的

谈话，但是可以用平时的谈话来理解，两个人在谈话时，你一句，我一句，一问一答，我们把它称为

一次对话，或者叫会话。同样，在我们用电脑工作时，打开的一个窗口或一个Web页面，我们也可以

把它叫做一个“会话”，扩展到一个局域网里面，所有用户要通过防火墙上网，要打开很多个窗口或

Web页面发（即会话），那么，这个防火墙，所能处理的最大会话数量，就是“并发连接数”。

像路由器的路由表存放路由信息一样，防火墙里也有一个这样的表，我们把它叫做并发连接表，是

防火墙用以存放并发连接信息的地方，它可在防火墙系统启动后动态分配进程的内存空间，其大小也

就是防火墙所能支持的最大并发连接数。大的并发连接表可以增大防火墙最大并发连接数，允许防火

墙支持更多的客户终端。尽管看上去，防火墙等类似产品的并发连接数似乎是越大越好。但是与此同

时，过大的并发连接表也会带来一定的负面影响：

1.并发连接数的增大意味着对系统内存资源的消耗

以每个并发连接表项占用300B计算，1000个并发连接将占用300B10008bit/B≈2.3Mb内存空间，

10000个并发连接将占用23Mb内存空间，100000个并发连接将占用230Mb内存空间，而如果真的试

图实现1000000个并发连接的话那么，这个产品就需要提供2.24Gb内存空间！

2.并发连接数的增大应当充分考虑CPU的处理能力

CPU的主要任务是把网络上的流量从一个网段尽可能快速地转发到另外一个网段上，并且在转发

过程中对此流量按照一定的访问控制策略进行许可检查、流量统计和访问审计等操作，这都要求防火

墙对并发连接表中的相应表项进行不断的更新读写操作。如果不顾CPU的实际处理能力而贸然增大

系统的并发连人民警察核心价值观 接表，势必影响防火墙对连接请求的处理延迟，造成某些连接超时，让更多的连接报文

2/9

被重发，进而导致更多的连接超时，最后形成雪崩效应，致使整个防火墙系统崩溃。

3.物理链路的实际承载能力将严重影响防火墙发挥出其对海量并发连接的处理能力

虽然目前很多防火墙都提供了10/100/1000Mbps的网络接口，但是，由于防火墙通常都部署在

Internet出口处，在客户端PC与目的资源中间的路径上，总是存在着瓶颈链路——该瓶颈链路可能是

2Mbps专线，也可能是512Kbps乃至64Kbps的低速链路。这些拥挤的低速链路根本无法承载太多的

并发连接，所以即便是防火墙能够支持大规模的并发访问连接，也无法发挥出其原有的性能。

有鉴于此，我们应当根据网络环境的具体情况和个人不同的上网习惯来选择适当规模的并发连接

表。因为不同规模的网络会产生大小不同的并发连接，而用户习惯于何种网络服务以及如何使用这些

服务，同样也会产生不同的并发连接需求。高并发连接数的防火墙设备通常需要客户投资更多的设备，

这是因为并发连接数的增大牵扯到数据结增减效应 构、CPU、内存、系统总线和网络接口等多方面因素。如何

在合理的设备投资和实际上所能提供的性能之间寻找一个黄金平衡点将是用户选择产品的一个重要

任务。按照并发连接数来衡量方案的合理性是一个值得推荐的办法。

以每个用户需要10.5个并发连接来计算，一个中小型企业网络（1000个信息点以下，容纳4个C

类地址空间）大概需要10.51000=10500个并发连接，因此支持20000～30000最大并发连接的防火

墙设备便可以满足需求；大型的企事业单位网络（比如信息点数在1000～10000之间）大概会需要

105000个并发连接，所以支持100000～120000最大并发连接的防火墙就可以满足企业的实际需要;而

对于大型电信运营商和ISP来说，电信级的千兆防火墙（支持120000～200000个并发连接）则是恰

当的选择。为较低需求而采用高端的防火墙设备将造成用户投资的浪费，同样为较高的客户需求而采

用低端设备将无法达到预计的性能指标。利用网络整体上的并发连接需求来选择适当的防火墙产品可

以帮助用户快速、准确的定位所需要的产品，避免对单纯某一参数“愈大愈好”的盲目追求，缩短设计

施工周期，节省企业的开支。从而为企业实施最合理的安全保护方案。

在利用并发连接数指标选择防火墙产品的同时，产品的综合性能、厂家的研发力量、资金实力、企

业的商业信誉和经营风险以及产品线的技术支持和售后服务体系等都应当纳入采购者的视野，将多方

面的因素结合起来进行综合考虑，切不可盲目的听信某些厂家广告宣传中的大并发连接的宣传，要根

据自己业务系统、企业规模、发展空间和自身实力等因素多方面考虑。

NAT

NAT英文全称是“NetworkAddressTranslation”，中文意思是“网络地址转换”，它是一个IETF(Internet

EngineeringTaskForce,Internet工程任务组)标准，允许一个整体机构以一个公用IP（InternetProtocol）

地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址

的技术。如图

简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，

就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在

3/9

外部公网（internet）上正常使用，NAT可以使多台计算机共享Internet连接，这一功能很好地解决了

公共IP地址紧缺的问题。通过这种方法，您可以只申请一个合法IP地址，就把整个局域网中的计算

机接入Internet中。这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，

而内部网计算机用户通常不会意识到NAT的存在。如图2所示。这里提到的内部地址，是指在内部

网络中分配给节点的私有IP地址，这个地址只能在内部网络中使用，不能被路由（一种网络技术，

可以实现不同路径转发）。虽然内部地址可以随机挑选，但是通常使用的是下面的地址：

10.0.0.0~10.255.255.255，172.16.0.0~172.16.255.255，192.168.0.0~192.168.255.255。NAT将这些无法

在互联网上使用的保留IP地址翻译成可以在互联网上使用的合法IP地址。而全局地址，是指合法的

IP地址，它是由NIC（网络信息中心）或者ISP(网络服务提供商)分配的地址，对外代表一个或多个

内部局部地址，是全球统一的可寻址的地址。

NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。比如Cisco路由

器中已经加入这一功能，网络管理员只需在路由器的IOS中设置NAT功能，就可以实现对内部网络

的屏蔽。再比如防火墙将WEBServer的内部地址192.168.1.1映射为外部地址202.96.23.11，外部访

问202.96.23.11地址实际上就是访问访问192.168.1.1。另外资金有限的小型企业来说，现在通过软件

也可以实现这一功能。Windows98SE、Windows2000都包含了这一功能。

NAT技术类型

NAT有三种类型：静态NAT(StaticNAT)、动态地址NAT(PooledNAT)、网络地址端口转换NAPT

（Port－LevelNAT）。

其中静态NAT设置起来最为简单和最容易实现的一种，内部网络中的每个主机都被永久映射成外

部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动

态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。

根据不同的需要，三种NAT方案各有利弊。

动态地址NAT只是转换IP地址，它为每一个内部的IP地址分配一个临时的外部IP地址，主要应

用于拨号，对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之后，动态地址NAT就会

分配给他一个IP地址，用户断开时，这个IP地址就会被释放而留待以后使用。

网络地址端口转换NAPT（NetworkAddressPortTranslation）是人们比较熟悉的一种转换方式。

NAPT普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态

地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个

由NAT设备选定的TCP端口号。

在Internet中使用NAPT时，所有不同的信息流看起来好像来源于同一个IP地址。这个优点在小

型办公室内非常实用，通过从ISP处申请的一个IP地址，将多个连接通过NAPT接入Internet。实际

上，许多SOHO远程访问设备支持基于PPP的动态IP地址。这样，ISP甚至不需要支持NAPT，就

可以做到多个内部IP地址共用一个外部IP地址上Internet，虽然这样会导致信道的一定拥塞，但考虑

到节省的ISP上网费用和易管理的特点，用NAPT还是很值得的。

4/9

DMZ

DMZ是英文“demilitarizedzone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安

装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓

冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置

一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个

DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来

说又多了一道关卡。网络结构如下图所示。

网络设备开发商，利用这一技术，开发出了相应的防火墙解决方案。称“非军事区结构模式”。DMZ

通常是一个过滤的子网，DMZ在内部网络和外部网络之间构造了一个安全地带。网络结构如下图所

示。

DMZ防火墙方案为要保护的内部网络增加了一道安全防线，通常认为是非常安全的。同时它提供

了一个区域放置公共服务器，从而又能有效地避免一些互联应用需要公开，而与内部安全策略相矛盾

的情况发生。在DMZ区域中通常包括堡垒主机、Modem池，以及所有的公共服务器，但要注意的是

电子商务服务器只能用作用户连接，真正的电子商务后台数据需要放在内部网络中。

在这个防火墙方案中，包括两个防火墙，外部防火墙抵挡外部网络的攻击，并管理所有内部网络对

DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线

(前面有了外部防火墙和堡垒主机)，当外部防火墙失效的时候，它还可以起到保护内部网络的功能。

5/9

而局域网内部，对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里，

一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难

度大大加强，相应内部网络的安全性也就大大加强，但投资成本也是最高的。

IDS

IDS是英文“IntrusionDetectionSystems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一

定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结

果，以保证网络系统资源的机密性、完整性和可用性。

我们做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。

一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它

便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链

路上。在这里，"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。

在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域

都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在：

（1）尽可能靠近攻击源

（2）尽可能靠近受保护资源

这些位置通常是：

服务器区域的交换机上

Internet接入路由器之后的第一台交换机上

重点保护网段的局域网交换机上

经典的入侵检测系统的部署方式如图所示。

安全过滤带宽

安全过滤带宽是指防火墙在某种加密算法标准下，如DES(56位)或3DES（168位）下的整体过滤性

能。它是相对于明文带宽提出的。一般来说，防火墙总的吞吐量越大，其对应的安全过滤带宽越高

用户数限制

防火墙的用户数限制分为固定限制用户数和无用户数限制两种。前者比如SOHO型防火墙一般支持几

十到几百个用户不等，而无用户数限制大多用于大的部门或公司。

6/9

要注意的是，用户数和并发连接数是完全不同的两个概念，并发连接数是指防火墙的最大会话数（或

进程），每个用户可以在一个时间里产生很多的连接，在购买产品时要区分这两个概念。

安全标准

为保护人和物品的安全性而制定的标准，称为安全标准。安全标准一般有两种形式：一种是专门的特

定的安全标准；另一种是在产品标准或工艺标准中列出有关安全的要求和指标。从标准的内容来讲，

安全标准可包括劳动安全标准、锅炉和压力容器安全标准、电气安全标准和消费品安全标准等。安全

标准一般均为强制性标准，由国家通过法律或法令形式规定强制执行。

网络与信息安全的标准，是在如下一些“原动力”的作用下发展起来的。

安全产品间互操作性的需要。

加密与解密、签名与认证、网络之间安全的互连互证实是什么意思 通等等，都需要来自不同厂商的产品能够顺利地

进行互操作，共同实现一个完整的安全功能。这种需求导致了最初一批网络信息安全标准的诞生，它

们是以“算法”、“协议”或者“接口”的面目出现的。比如著名的对称加密算法DES的英文全称就是“数

据加密标准”。

对安全等级认定的需要。

人们不可能百分之百地听信厂家说自己有哪些安全功能，大多数用户自己又不是安全专家，于是就

需要一批用户信得过的、恪守中立的安全专家，对安全产品的安全功能和性能进行认定。经过总结提

炼，就形成了一些“安全等级”，每个安全等级在安全花蛤怎么做 功能和性能上有特定的严格定义，对应着一系列

可操作的测评认证手段。这些用客观的、可操作的手段定义的安全等级，使得安全产品的评测认定走

向科学的正轨。

对服务商能力进行衡量的需要。

随着网络信息安全逐渐成长为一个产业，安全等级认定的弱点——周期长、代价高就逐步暴露了出

来。于是，除了对“蛋”（安全产品）的等级进行认定以外，人们想到了通过对下蛋的“鸡”（安全服务

商）等级的认努力的例子 定来间接地对“蛋”进行认定。这样，使得以产品提供商和工程承包商为评测对象的标准

大行其道，同以产品或系统为测评认证对象的测评认证标准形成了互补的格局。网络的普及，使以网

络为平台的网络信息服务企业和使用网络作为基础平台传递工作信息的企业，比如金融、证券、保险

和各种类型的电子商务企业纷纷重视安全问题。因此，针对使用网络和信息系统开展服务的企业的信

息安全管理标准应运而生。

目前国际上通行的与网络和信息安全有关的标准，大致可分成三类：

互操作标准

比如，对称加密标准DES、3DES、IDEA以及被普遍看好的AES；非对称加密标准RSA；VPN

标准IPSec；传输层加密标准SSL；安全电慈悲反义词 子邮件标准S-MIME；安全电子交易标准SET；通用脆弱

性描述标准CVE。这些都是经过一个自发的选择过程后被普遍采用的算法和协议，也就是所谓的“事

实标准”。

技术与工程标准

比如，信息产品通用测评准则（CC/ISO15408）；安全系统工程能力成熟度模型（SSE-CMM）。

网络与信息安全管理标准

比如，信息安全管理体系标准（BS7799）；信息安全管理标准（ISO13335）。

管理功能

7/9

防火墙管理是指对防火墙具有管理权限的管理员行为和防火墙运行状态的管理，管理员的行为主要包

括：通过防火墙的身份鉴别，编写防火墙的安全规则，配置防火墙的安全参数，查看防火墙的日志等。

防火墙的管理一般分为本地管理、远程管理和集中管理等。

本地管理：是指管理员通过防火墙的Console口或防火墙提供的键盘和显示器对防火墙进行配置管

理。

远程管理：是指管理员通过以太网或防火墙提供的广域网接口对防火墙进行管理，管理的通信协议

可以基于FTP、TELNET、HTTP等。

集中管理:是防火墙的一种管理手段，通常利用一个界面来管理网络中的多个防火墙。其效果和用

一个遥控器管理家中所有电器一样简单，可大大简化管理员的管理工作。

在防火墙的管理中，最为常见的是通过SNMP进行管理，SNMP是英文“SimpleNetworkManagement

Protocol”的缩写，中文意思是“简单网络管理协议”。SNMP首先是由Internet工程任务组织(Internet

EngineeringTaskForce)(IETF)的研究小组为了解决Internet上的路由器管理问题而提出的。

通过将SNMP嵌入数据通信设备，如交换机或集线器中，就可以从一个中心站管理这些设备，并

以图形方式查看信息。目前可获取的很多管理应用程序通常可在大多数当前使用的操作系统下运行，

如Windows3.11、Windows95、WindowsNT和不同版本UNIX的等

硬件参数

防火墙硬件参数是指设备使用的处理器类型或芯片及主频，内存容量，闪存容量，网络接口，存储容

量类型等数据。

DoS

DoS是英文“Denialofrvice”的缩写，中文意思是“拒绝服务”。DoS攻击专门设计用来阻止授权用户

对系统以及系统数据进行访问，通常采用的攻击方式是让系统服务器超载或者让系统死机。类似于几

百个人同时拨一个电话，导致电话繁忙和不可用。DoS攻击可能涉及到通过国际互联网发送大量的错

误网络信息包。如果DoS攻击来源于单点进攻，那么可以采用简单的交通控制系统来探测到电脑黑客。

较为复杂的DoS攻击可以包含多种结构和大量的攻击点。电脑黑客经常操纵其它计算机和网络服务器

并且使用它们的地址进行DoS攻击，这样就可以掩盖他们自己的真实身份。

与之紧密相关的另一个概念就是DdoS,DdoS是英文“distributionDenialofrvice”的缩写，中文意

思是“分布式拒绝服务攻击”，这种攻击方法使用与普通的拒绝服务攻击同样的方法，但是发起攻击的

源是多个。通常，攻击者使用下载的工具渗透无保护的主机，当获得该主机的适当的访问权限后，攻

击者在主机中安装软件的服务或进程（以下简称代理）。这些代理保持睡眠状态，直到从它们的主控

端得到指令。主控端命令代理对指定的目标发起拒绝服务攻击。随着cablemodems,DSL和危害力及

强的黑客工具的广泛传播使用，有越来越多的可以被访问的主机。分布式拒绝服务攻击是指主控端可

以同时对一个目标发起几千个攻击。单个的拒绝服务攻击的威力也许对带宽较宽的站点没有影响，而

分布于全球的几千个攻击将会产生致命的效果。

控制端口

防火墙的控制端口通常为Console端口，防火墙的初始配置也是通过控制端口（Console）与PC机（通

常是便于移动的笔记本电脑）的串口（RS-232）连接，再通过Windows系统自带的超级终端

（Hype弱小的反义词 rTerminal）程序进行选项配置。防火墙的初始配置物理连接与交换机初始配置连接方法一样，

如图所示。

8/9

防火墙除了以上所说的通过控制端口（Console）进行初始配置外，也可以通过telnet和Tftp（简单

文件传输协议）配置方式进行高级配置，但Telnet配置方式都是在命令方式中配置，难度较大，而

Tftp方式需要专用的Tftp服务器软件，但配置界面比较友好。

吞吐量

网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包

的情况下单位时间内通过防火墙的数据包数量。

随着Internet的日益普及，内部网用户访问Internet的需求在不断增加，一些企业也需要对外提供

诸如WWW页面浏览、FTP文件传输、DNS域名解析等服务，这些因素会导致网络流量的急剧增加，

而防火墙作为内外网之间的唯一数据通道，如果吞吐量太小，就会成为网络瓶颈，给整个网络的传输

效率带来负面影响。因此，考察防火墙的吞吐能力有助于我们更好的评价其性能表现。这也是测量防

火墙性能的重要指标。

吞吐量的大小主要由防火墙内网卡，及程序算法的效率决定，尤其是程序算法，会使防火墙系统进

行大量运算，通信量大打折扣。因此，大多数防火墙虽号称100M防火墙，由于其算法依靠软件实现，

通信量远远没有达到100M,实际只有10M-20M。纯硬件防火墙，由于采用硬件进行运算，因此吞吐量

可以达到线性90-95M,是真正的100M防火墙。

对于中小型企业来讲，选择吞吐量为百兆级的防火墙即可满足需要，而对于电信、金融、保险等大

公司大企业部门就需要采用吞吐量千兆级的防火墙产品。

IDS

IDS是英文“IntrusionDetectionSystems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一

定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结

果，以保证网络系统资源的机密性、完整性和可用性。

我们做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。

一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它

便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链

路上。在这里，"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。

在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域

都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在：

（1）尽可能靠近攻击源

（2）尽可能靠近受保护资源

这些位置通常是：

服务器区域的交换机上

9/9

Internet接入路由器之后的第一台交换机上

重点保护网段的局域网交换机上

经典的入侵检测系统的部署方式如图所示。

[文档可能无法思考全面，请浏览后下载，另外祝您生活愉快，工作顺利，万事如意!]