址、协议、端口、时间、用户、命令、附件等等。还要注意的就是控制强度,也就是说应该限制的内容必须全部阻断,应该通过的内容不应该有任何阻断。
抗攻击能力是指防火墙对各种攻击的抵抗能力。包括抵御攻击的种类,数量。特别是对DOS和DDOS攻击的抵抗力。目前对于DDOS攻击还没有什么完善的解决办法。因此对DDOS攻击主要看能抵御的强度有多大。
用户在选择防火墙的时候,自己来判断以上这些性能是很困难的。因为用户没有专门的 测试工具和手段。用户可以根据一些第三方的认证和评测来辅助判断。比如能否拥有安 全性较严格的军队认证、还有就是中国信息安全产品测评认证中心的等级证书。现在用 的标准是国标GB/T18336,等级越高越好,一共7级。(不过现在最好的好像也就是EAL3 )
二网络性能
防火墙是个网络设备。在保证安全的基础上,应该最大程度减少对网络性 能的影响。对于网络性能,主要就是看最大带宽、并发连接数、每秒新增连接数、丢包 和延迟。这些指标和交换机、路由器都是相同的,这里就不多说了。但是有一点要注意 。防火墙在策略起作用和全通策略的状态下,上述指标都是不一样的。用户一定要考虑 实际环境。比如先按照用户的要求添加多少条策略(全通策略在最后)然后再测试。传 说中有的百兆防火墙小包(64字节)通过率能达到页码:[1] [2] [3] [4] [5] [6] [7] 第2页、共7页 |
