防火墙选型考虑因素

柒天

前不久有朋友说一个稳定的服务器环境是要有强大的防火墙保护的，这个防火墙到底要多强大才算安全，一个良好的防火墙应该考虑哪些因素，回来查了一些资料和自己的看法，列举如下，如有不全或不对，请多指点。

$ Y% m& f1 J+ \/ i, }/ c& N9 ?( Z

性能

  防火墙的性能对于一个防火墙来说是至关重要的，它决定了每秒钟可能通过防火墙的最大数据流量，以bps为单位。从几十兆到几百兆不等，千兆防火墙还会达到几个G的性能。

5 Q8 Y# C1 b6 `% t

工作模式

  目前市面上的防火墙都会具备三种不同的工作模式，路由模式、NAT模式还有透明模式。

  透明模式时，防火墙过滤通过防火墙的封包，而不会修改数据包包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分。此时防火墙的作用更像是Layer 2(第2层)交换机或桥接器。在透明模式下，接口的IP地址被设置为0.0.0.0，防火墙对于用户来说是可视或"透明"的。 处于"网络地址转换(NAT)"模式下时，防火墙的作用与Layer 3(第3层)交换机(或路由器)相似，将绑定到外网区段的IP封包包头中的两个组件进行转换：其源IP地址和源端口号。防火墙用目的地区段接口的IP地址替换发送封包的主机的源IP地址。另外，它用另一个防火墙生成的任意端口号替换源端口号。   路由模式时，防火墙在不同区段间转发信息流时不执行NAT；即，当信息流穿过防火墙时，IP封包包头中的源地址和端口号保持不变。与NAT不同，不需要为了允许入站会话到达主机而建立路由模式接口的映射和虚拟IP地址。与透明模式不同，内网区段中的接口和外网区段中的接口在不同的子网中。   

/ U6 E- z) F2 a- z/ F" A

管理界面

  管理一个防火墙的方法一般来说是两种：图形化界面和命令行界面

  图形界面最常见的方式是通过web方式(包括http和https)和java等程序编写的界面进行远程管理；命令行界面一般是通过console口或者telnet/ssh进行远程管理。   接口

  防火墙的接口也分为以太网口(10M)、快速以太网口(10/100M)、千兆以太网口(光纤接口)三种类型。防火墙一般都预先设有具有内网口、外网口和DMZ区接口和默认规则，有的防火墙也预留了其它接口用于用户自定义其它的独立保护区域。防火墙上的RS232 Console口主要用于初始化防火墙时的进行基本的配置或用于系统维护。另外有的防火墙还有可能提供PCMCIA插槽、IDS镜像口、高可用性接口(HA)等，这些是根据防火墙的功能来决定的。

! O' q( P3 Z) j2 \+ V; G9 Z* C

5 \3 K: t0 J$ O3 ?2 O