1.4 防火墙性能与部署

1.4.1 常见的防火墙产品

1.NetScreen 208防火墙

NetScreen科技公司推出的NetScreen防火墙产品是一种新型的网络安全硬件产品。NetScreen采用内置的ASIC技术，其安全设备具有低延时、高效率的IPSec加密和防火墙功能，可以无缝地部署到任何网络。设备安装和操控也非常容易，可以通过多种管理界面（包括内置的WebUI界面、命令行界面或NetScreen中央管理方案）进行管理。NetScreen将所有功能集成于单一硬件产品中，它不仅易于安装和管理，而且能够提供更高的可靠性和安全性。由于NetScreen设备没有其他品牌产品对硬盘驱动器所存在的稳定性问题，所以它是对在线时间要求极高的用户的最佳方案。采用NetScreen设备，只需要对防火墙、VPN和流量管理功能进行配置和管理，减省了配置另外的硬件和复杂性操作系统的需要。这个做法缩短了安装和管理的时间，并在防范安全漏洞的工作上，省略设置的步骤。NetScreen-100防火墙比较适合中型企业的网络安全需求。

2.Cisco Secure PIX 515-E防火墙

Cisco Secure PIX防火墙是Cisco防火墙家族中的专用防火墙设施。Cisco Secure PIX 515-E防火墙系统通过端到端安全服务的有机组合，提供了很高的安全性。适合那些仅需要与自己企业网进行双向通信的远程站点，或由企业网在自己的企业防火墙上提供所有的Web服务的情况。Cisco Secure PIX 515-E防火墙与普通的CPU密集型专用代理服务器（对应用级的每个数据包都要进行大量处理）不同，Cisco Secure PIX 515-E防火墙采用非UNIX、安全、实时的内置系统。可提供扩展和重新配置IP网络的特性，同时不会引起IP地址短缺问题。NAT既可利用现有IP地址，也可利用Internet指定号码机构[IANA]预留池[RFC.1918]规定的地址来实现这一特性。Cisco Secure PIX 515-E防火墙还可根据需要有选择性地允许地址是否进行转化。Cisco保证NAT将同所有其他的PIX防火墙特性（如多媒体应用支持）共同工作。Cisco Secure PIX 515-E防火墙比较适合中小型企业的网络安全需求。

3.天融信网络卫士NGFW4000-S防火墙

北京天融信公司的网络卫士NGFW4000-S防火墙是我国第一套自主版权的防火墙系统，目前在我国电信、电子、教育、科研等单位广泛使用。它由防火墙和管理器组成。网络卫士NGFW4000-S防火墙是我国首创的核检测防火墙，更加安全、稳定。网络卫士NGFW4000-S防火墙系统集中了包过滤型防火墙、应用代理、网络地址转换（NAT）、用户身份鉴别、虚拟专用网、Web页面保护、用户权限控制、安全审计、攻击检测、流量控制与计费等功能，可以为不同类型的Internet接入网络提供全方位的网络安全服务。网络卫士防火墙系统是中国人自己设计的，因此管理界面完全是中文化的，使管理工作更加方便，网络卫士NGFW4000-S防火墙的管理界面是所有防火墙中最直观的。网络卫士NGFW4000-S防火墙比较适合中型企业的网络安全需求。

4.东软NetEye 4032防火墙

NetEye 4032防火墙是NetEye防火墙系列中的最新版本，该系统在性能、可靠性、管理性等方面有了大大提高。其基于状态包过滤的流过滤体系结构，保证从数据链路层到应用层的完全高性能过滤，可以进行应用级插件的及时升级，攻击方式的及时响应，实现动态的保障网络安全。NetEye 4032防火墙对流过滤引擎进行了优化，进一步提高了性能和稳定性，同时丰富了应用级插件、安全防御插件，并且提升了开发相应插件的速度。网络安全本身是动态的，其变化非常迅速，每天都有可能有新的攻击方式产生。安全策略必须能够随着攻击方式的产生而进行动态的调整，这样才能够动态地保护网络的安全。基于状态包过滤的流过滤体系结构，具有动态保护网络安全的特性，使NetEye防火墙能够有效地抵御各种新的攻击，动态的保障网络安全。东软NetEye 4032防火墙比较适合中小型企业的网络安全需求。

1.4.2 防火墙关键性能指标

不同性能的防火墙设备，需要与所接入的网络相适应，同时权威测评机构（如中国信息安全产品测评认证中心等）在对防火墙产品进行检测、测评时，一般会测评其吞吐量、时延、丢包率、并发连接数等，在进行上述测试时会搭建独立的测试用环境，并且一般使用专用硬件进行测试，如SmartBits等设备。以下对这几个常见指标进行说明。

1.吞吐量

网络中的数据是由一个个数据帧组成的，防火墙对每个数据帧的处理要耗费资源。吞吐量是指在没有数据帧丢失的情况下，防火墙能够接受并转发的最大速率。IETF RFC 1242中对吞吐量做了标准的定义：“The Maximum Rate at Which None of the Offered Frames are Dropped by the Device”，明确提出了吞吐量是指在没有丢包时的最大数据帧转发速率。吞吐量的大小主要由防火墙内网卡及程序算法的效率决定，尤其是程序算法，会使防火墙系统进行大量运算，通信量大打折扣。很明显，同档次防火墙这个值越大说明防火墙的性能越好。

2.时延

网络的应用种类非常复杂，许多应用对时延非常敏感（如音频、视频等），而网络中加入防火墙设备（也包括其他设备）必然会增加传输时延，所以较低的时延对防火墙来说是不可或缺的。测试时延是指测试仪发送端口发出数据包经过防火墙后到接收端口收到该数据包的时间间隔，时延有存储转发时延和直通转发时延两种。

3.丢包率

在IETF RFC1242中对丢包率做出了定义，是指在正常稳定的网络状态下，应该被转发，但由于缺少资源而没有被转发的数据包占全部数据包的百分比。较低的丢包率，意味着防火墙在强大的负载压力下，能够稳定地工作，以适应各种网络的复杂应用和较大数据流量对处理性能的高要求。

4.并发连接数

并发连接数是衡量防火墙性能的一个重要指标。在IETF RFC2647中给出了并发连接数（Concurrent Connections）的定义，是指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数。表示防火墙（或其他设备）对其业务信息流的处理能力，反映出防火墙对多个连接的访问控制能力和连接状态跟踪能力，这个参数直接影响到防火墙所能支持的最大信息点数。

除上述指标外，在部分测试中还会进行背靠背缓冲等数据测评，并且随着防火墙技术的不断发展，更多的测评项也会随之不断增加，以分析防火墙各个应用方面的实际性能。

1.4.3 防火墙部署方式

因为历史的原因，一般用户均是在已有的信息系统、网络平台上去部署增加防火墙设备，以提升信息系统和网络的安全性。为此，防火墙的产品在设计之初就考虑到了这些问题，并同时支持透明模式、路由模式和混合模式三种不同的部署方式，这三种部署方式已经涵盖了任何环境下对防火墙部署的需要，并保证在各种模式下防火墙的安全访问控制功能得以全面发挥。以下分别对防火墙这三种部署方式进行说明。

1.透明模式

顾名思义，首要的特点就是对用户是透明的（Transparent），即用户意识不到防火墙的存在。要想实现透明模式，防火墙必须在没有IP地址的情况下工作，不需要对其设置IP地址，用户也不知道防火墙的IP地址。

防火墙作为一个实际存在的物理设备，其本身也可以起到路由的作用，所以在为用户安装防火墙时，就需要考虑如何改动其原有的网络拓扑结构或修改连接防火墙的路由表，以适应用户的实际需要，这样就增加了工作的复杂程度和难度。但如果防火墙采用了透明模式，即采用无IP地址方式运行，用户将不必重新设定和修改路由，防火墙就可以直接安装和放置到网络中使用，如交换机一样不需要设置IP地址。在采用透明方式部署防火墙后的网络结构不需要做任何调整，即使需要时把防火墙去掉，网络依然可以很方便地连通，不需要调整网络上的交换及路由，如图1-6所示为以透明模式部署防火墙后的一个网络结构示意图。

透明模式的防火墙就好像是一台网桥（非透明模式的防火墙好像一台路由器），网络设备（包括主机、路由器、工作站等）和所有计算机的设置（包括IP地址和网关）无须改变，同时解析所有通过它的数据包，既增加了网络的安全性，又降低了用户管理的复杂程度。

2.路由模式

路由模式比透明模式更容易理解，在此模式下，防火墙需要配置相应的路由规则，并参与所接入网络的路由。为此，如果是在现有的网络上采用路由模式部署防火墙，可能涉及调整现有网络结构或网络上路由设备、交换设备的IP地址或路由指向的问题，同时需要考虑防火墙部署位置的关键性，是否需要设计冗余部署防火墙设备，等等。

在路由模式下，防火墙所有使用的接口均需要配置IP地址，并且需要在防火墙的路由表内，根据网络结构情况添加相应的路由规则，同时其他连接防火墙的路由设备，需要编写指向防火墙的路由策略。

在现实的实际使用中，因为防火墙具备了路由功能，可以在大部分情况下代替路由器，所以很多用户在使用防火墙时使用了其路由功能，并将其部署在网络边界。甚至有些在网络方案设计初期就设计好如何使用防火墙的路由功能，以最大限度地提高产品的利用率并降低成本。图1-7所示是路由模式部署的防火墙示意图。

很明显，在路由模式下，因为需要使用防火墙更多的网络路由功能，那么一旦防火墙出现故障，整个网络结构或连接防火墙的设备配置就需要调整，为此在一般的防火墙部署方案中，特别是路由模式（及混合模式）部署时，一定程度上都会考虑防火墙的冗余部署（双机热备等），以避免因防火墙设备故障长时间造成网络通信中断。

3.混合模式

混合模式可以理解为上述透明模式和路由模式同时采用时的部署方式。在某些网络结构下，因为网络设计的需要，需要某若干安全区域中同一个网段，如A网段，但又要求区域间的访问受防火墙的控制，这样就采用透明模式连接这些区域。而另外有些区域出于更安全的要求，要求其与A网段不在同一网段，但同时还需要与A网段进行安全的、可控制的数据交换，为此防火墙的一些接口就需要配置为交换模式（网桥模式），另外一些接口配置为路由模式，这样部署的防火墙，就是采用的混合模式。图1-8所示是采用混合模式部署的防火墙的网络结构示意图。

同样，混合模式下部分接口启用了路由功能，在关键网络上也是需要考虑防火墙的冗余部署。