《信息安全产品配置与应用其他资源全套配套课件武春岭ppt1-4防火墙性能指标与局限性》由会员分享,可在线阅读,更多相关《信息安全产品配置与应用其他资源全套配套课件武春岭ppt1-4防火墙性能指标与局限性(11页珍藏版)》请在金锄头文库上搜索。
1、信息安全产品配置与应用 Configuration and Application of Information Security Products,重庆电子工程职业学院| 路亚,模块一、防火墙产品配置与应用,主要内容 防火墙概念和作用 防火墙发展历程 防火墙核心技术 防火墙体系结构 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能指标 防火墙局限性 防火墙的两个争议,衡量防火墙性能的五大指标,吞吐量:该指标直接影响网络的性能,吞吐量 时延:入口处输入帧最后1个比特到达至出口处输出帧的第1个比特输出所用的时间间隔 丢包率:在稳态负载下,应由网络设备传输,但由于资源缺乏而被丢弃的
2、帧的百分比 背靠背:从空闲状态开始,以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧,当出现第一个帧丢失时,发送的帧数 并发连结数:并发连接数是指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数,吞吐量,定义:在不丢包的情况下能够达到的最大速率 衡量标准:吞吐量越大,防火墙的性能越高,;%#&*&#*(&,Smartbits 6000B 测试仪,10110010100001111100101001001000,以最大速率发包,直到出现丢包时的最大值,防火墙吞吐量小就会成为网络的瓶颈,100M,60M,时延,数据包首先排队待 防火墙检查后转发,定义:入口处输入帧最后
3、1个比特到达至出口处输出帧的第一个比特输出所用的时间间隔 衡量标准:延时越小,表示防火墙的性能越高,10101001001001010,Smartbits 6000B 测试仪,10110010100001001010010001001000,最后1个比特到达,第一个比特输出,时间间隔,1010100111001110,1010100111001110,101001001010010100010,10101010010000100100010,造成数据包延迟到达目标地,丢包率,定义:在连续负载的情况下,防火墙设备由于资源不足应转发但却未转发的帧百分比 衡量标准:丢包率越小,防火墙的性能越高,发送
4、了1000个包,防火墙由于资源不足只转发了800个包,丢包率=(1000-800)/1000=20%,100101010010101001001,100101010010001001001,背靠背,定义:从空闲状态开始,以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧,当出现第一个帧丢失时,发送的帧数。 衡量标准:背对背包主要是指防火墙缓冲容量的大小 ,网络上经常有一些应用会产生大量的突发数据包(例如:NFS,备份,路由更新等),而且这样的数据包的丢失可能会产生更多的数据包的丢失,强大缓冲能力可以减小这种突发对网络造成的影响。,时间(t),包数量(n),少量包,包增多,峰值,
5、包减少,没有数据,背靠背是体现防火墙对突发数据的处理能力,并发连接数,定义:指数据包穿越防火墙时同时建立的最大连接数 。 衡量标准:并发连接数主要用来测试防火墙建立和维持TCP连接的性能,并发连接数越大,防火墙的处理性能越高。,并发连接数指标可以用来衡量穿越防火墙时同时建立的最大连接数,主要内容,防火墙基本概念 防火墙发展历程 防火墙核心技术 防火墙体系结构 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议,防火墙的局限性,防火墙虽然是保护网络安全的基础性设施,但是它还存在着一些不易防范的安全威胁: 首先防火墙不能防范未经过防火墙或绕过防火墙的攻击。例如,如果允许从受保护的网络内部向外拨号,一些用户就可能形成与Internet的直接连接。 防火墙基于数据包包头信息的检测阻断方式,主要对主机提供或请求的服务进行访问控制,无法阻断通过开放端口流入的有害流量,并不是对蠕虫或者黑客攻击的解决方案。(指单一的防火墙功能) 另外,防火墙很难防范来自于网络内部的攻击或滥用。,谢谢!,
