防火墻是部署在內(nèi)部和外部網(wǎng)絡之間的邊界上的訪問控制設備，可防止未經(jīng)授權(quán)的內(nèi)部和外部網(wǎng)絡通信。防火墻主要有三種類型：簡單的數(shù)據(jù)包篩選防火墻，狀態(tài)/動態(tài)檢測防火墻和應用程序代理防火墻。
防火墻控制是網(wǎng)絡數(shù)據(jù)的對象。它檢查用戶的第2-7層策略，并根據(jù)檢查結(jié)果決定接受，丟棄或限制流量。盡管實際的防火墻也可以代替路由器和交換機的一部分，但是過多關注這些功能的結(jié)果只能說是易貨。

由于網(wǎng)絡中引入了防火墻設備，防火墻的必然要求可以提供相應的支持，包括管理，環(huán)境適應性，與現(xiàn)有交換機/路由器的互連，吞吐量和適當?shù)难舆t。該防火墻沒有網(wǎng)絡瓶頸。這些功能實際上是對防火墻的附加要求，盡管這是必需的，但并不能為用戶增加價值，因此其總體要求是最好的。

盡管防火墻的開發(fā)時間相對較長，技術(shù)也相對成熟，但是新的防火墻概念和新技術(shù)仍在不斷涌現(xiàn)。那么，如何真正評估防火墻？它還必須從用戶的角度，從功能，性能，管理，穩(wěn)定性三個方面進行深入分析。

功能，表現(xiàn)為“雙重皮膚”

功能和性能一直是用戶評估防火墻的主要方面，尤其是由于它們具有可量化的性能，而且還是比較的重點，但是要真正理解這兩個問題并不容易。為了適應用戶環(huán)境的復雜和需要，為了有一個“賣點”，當前的防火墻一般具有很多功能，這些功能沒有問題，例如熱備功能已經(jīng)通過了測試，動態(tài)應用程序支持也已經(jīng)過測試，但是在現(xiàn)實世界中，我們可以使用視頻會議的需求和要求，而無需中斷熱備用中的視頻切換

這可能是一些防火墻，而用戶真正需要的是功能的類似組合。另外，防火墻的功能和性能一般是獨立評估的，功能測試和性能測試和功能測試涉及單個功能，性能測試約為2個，三個簡單的應用程序性能，導致性能成為功能的“雙皮”，不能真正體現(xiàn)防火墻功能：測試性能非常高，但是很多功能無法使用。在實際使用中，所有常用功能都已打開，并且性能變得很差。因此，有必要評估防火墻的性能和功能以評估防火墻的性能。

具體評估應從以下幾個方面進行：

?2到7層訪問控制功能，特別是對于過濾層深度應用程序。功能應該能夠解決地址映射，端口映射，骨干VLAN支持，用戶認證，動態(tài)數(shù)據(jù)包過濾以及使用流控制功能的任何組合的問題。

?專注于反synflood攻擊的安全功能。當前，“黑客”中最常用和最有效的攻擊者是DDoS（分布式拒絕服務攻擊），這是由于服務器拒絕服務所致。防火墻作為網(wǎng)絡的通道，可以確保網(wǎng)絡的安全性。需要重點關注的安全保護功能可以過濾攻擊并確保正常訪問。是否同時有效地欺騙了源地址攻擊和真實源地址攻擊，可以保護服務器免受沖擊。 。此功能應能夠同時進行地址映射，端口映射，主干VLAN支持，用戶身份驗證，動態(tài)數(shù)據(jù)包過濾，流控制等或任意組合。

?實際表現(xiàn)。性能測試通常包括六個方面：吞吐量，延遲，數(shù)據(jù)包丟失率，回程，并發(fā)連接數(shù)，新連接率，并且實際性能接近于實際用戶性能。

?新的連接速率。由于網(wǎng)絡應用中的較大波動，即在不同時間訪問特性的差異，防火墻也可以適應這種情況，相應的指標，新的連接速率。考慮到用戶網(wǎng)絡的復雜性和應用，還需要打開一些常用功能，例如數(shù)據(jù)包過濾，內(nèi)容過濾和反攻擊，以測試新的連接速率。

管理是關鍵

要使用安全的防火墻系統(tǒng)，用戶必須實施防火墻安全策略，這對防火墻的實際操作員提出了更高的要求。由于不同防火墻的管理差異，管理員的管理困難可能導致配置錯誤，從而帶來網(wǎng)絡安全隱患。由于不能要求每個網(wǎng)絡管理員都成為網(wǎng)絡安全專家，因此管理是網(wǎng)絡安全的關鍵。為了刪除權(quán)限管理，通信加密等，還必須集中在管理便利性和集中管理這兩個方面。

單一管理方便，防火墻應提供多種管理方式，以便管理員在不同的使用場合（例如高級管理員）管理防火墻的串口命令行模式。遠程維護和管理SSH模式；網(wǎng)絡遠程配置；圖形用戶界面遠程配置和監(jiān)視。

其中，網(wǎng)頁模式不需要安裝客戶端軟件，更加方便靈活。圖形用戶界面的安裝比較麻煩，但是靈活性很強。早期：許多服務器管理員在受到服務器攻擊時直接安裝了軟件防火墻。實際上，這種效果并不大，因為它已經(jīng)到達服務器的應用程序?qū)?。無論如何，流量已經(jīng)是服務器的NIC。例如，一旦攻擊者增加了流量，帶寬就會耗盡。

對于早期的少量攻擊流量而言，這是非常明顯的，其優(yōu)點是成本低，也許數(shù)百個塊可以解決該問題。如今，時代不同了。它是無處不在的數(shù)十個G和數(shù)百個G的攻擊。高抗CDN解決了接入層和網(wǎng)絡層+應用層的問題，更適合當前的大流量攻擊。攻擊者發(fā)起攻擊后，流量將直接進入高安全性訪問硬件防火墻。群集防火墻將過濾超過99％的攻擊應用程序。仍有大量CC可能未完全過濾。 CC流量到達CDN節(jié)點服務器，并且通過限制訪問頻率和其他反CC策略來阻止無效IP地址。

全網(wǎng)數(shù)據(jù)專業(yè)提供深圳服務器租用，深圳服務器托管，深圳主機租用，深圳服務器租用，云服務器租用等，詳情可咨詢客服了解。