防火墙基础技术-02

• 学完本课程后，您将能够:
• 了解防火墙的定义和分类
• 理解防火墙的主要功能和技术
• 掌握防火墙设备管理的方法
• 掌握防火墙的基本配置

　　防火墙技术是安全技术中的一个具体体现。防火墙原本是指房屋之间修建的一道墙，用以防止火灾发生时的火势蔓延。我们这里讨论的是硬件防火墙，它是将各种安全技术融合在一起，采用专用的硬件结构，选用高速的CPU、嵌入式的操作系统，支持各种高速接口（LAN接口），用来保护私有网络（计算机）的安全，这样的设备我们称为硬件防火墙。硬件防火墙可以独立于操作系统（HP-UNIX、SUN OS、AIX、NT等）、计算机设备（IBM6000、普通PC等）运行。它用来集中解决网络安全问题，可以适合各种场合，同时能够提供高效率的“过滤”。同时它可以提供包括访问控制、身份验证、数据加密、VPN技术、地址转换等安全特性，用户可以根据自己的网络环境的需要配置复杂的安全策略，阻止一些非法的访问，保护自己的网络安全。
　　现代的防火墙体系不应该只是一个“入口的屏障”，防火墙应该是几个网络的接入控制点，所有进出被防火墙保护的网络的数据流都应该首先经过防火墙，形成一个信息进出的关口，因此防火墙不但可以保护内部网络在Internet中的安全，同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络内部中，所有的计算机之间是被认为“可信任的”，它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间，必须按照防火墙规定的“策略”进行访问。

分类

按照形态分为

• • 硬件防火墙
  • 软件防火墙

按照保护对象分为

• • 单机防火墙
  • 网络防火墙

按照访问控制方式分为

• • 包过滤防火墙
  • 代理防火墙
• • 状态检测防火墙

　　包过滤是指在网络层对每一个数据包进行检查，根据配置的安全策略转发或丢弃数据包。包过滤防火墙的基本原理是：通过配置访问控制列表（ACL, Access Control List）实施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。
包过滤防火墙的设计简单，非常易于实现，而且价格便宜。
包过滤防火墙的缺点主要表现以下几点：

• 1. 随着ACL 复杂度和长度的增加，其过滤性能呈指数下降趋势。
• 2. 静态的ACL 规则难以适应动态的安全要求。
• 3. 包过滤不检查会话状态也不分析数据，这很容易让黑客蒙混过关。例如，攻击者可以使用假冒地址进行欺骗，通过把自己主机IP地址设成一个合法主机IP地址，就能很轻易地通过报文过滤器。

说明：多通道协议，如FTP协议。FTP在控制通道协商的基础上，生成动态的数据通道端口，而后的数据交互主要在数据通道上进行。

　　代理服务作用于网络的应用层，其实质是把内部网络和外部网络用户之间直接进行的业务由代理接管。代理检查来自用户的请求，用户通过安全策略检查后，该防火墙将代表外部用户与真正的服务器建立连接，转发外部用户请求，并将真正服务器返回的响应回送给外部用户。
代理防火墙能够完全控制网络信息的交换，控制会话过程，具有较高的安全性。其缺点主要表现在：
1. 软件实现限制了处理速度，易于遭受拒绝服务攻击。
2. 需要针对每一种协议开发应用层代理，开发周期长，而且升级很困难。

　　状态检测是包过滤技术的扩展。基于连接状态的包过滤在进行数据包的检查时，不仅将每个数据包看成是独立单元，还要考虑前后报文的历史关联性。我们知道，所有基于可靠连接的数据流（即基于TCP协议的数据流）的建立都需要经过“客户端同步请求”、“服务器应答”以及“客户端再应答”三个过程（即“三次握手”过程），这说明每个数据包都不是独立存在的，而是前后有着密切的状态联系的。基于这种状态联系，从而发展出状态检测技术。
基本原理简述如下：
状态检测防火墙使用各种会话表来追踪激活的TCP（Transmission Control Protocol）会话和UDP（User Datagram Protocol）伪会话，由访问控制列表决定建立哪些会话，数据包只有与会话相关联时才会被转发。其中UDP伪会话是在处理UDP协议包时为该UDP数据流建立虚拟连接（UDP是面对无连接的协议），以对UDP 连接过程进行状态监控的会话。
状态检测防火墙在网络层截获数据包，然后从各应用层提取出安全策略所需要的状态信息，并保存到会话表中，通过分析这些会话表和与该数据包有关的后续连接请求来做出恰当决定。

状态检测防火墙具有以下优点：
　　后续数据包处理性能优异：状态检测防火墙对数据包进行ACL 检查的同时，可以将数据流连接状态记录下来，该数据流中的后续包则无需再进行ACL检查，只需根据会话表对新收到的报文进行连接记录检查即可。检查通过后，该连接状态记录将被刷新，从而避免重复检查具有相同连接状态的数据包。连接会话表里的记录可以随意排列，与记录固定排列的ACL 不同，于是状态检测防火墙可采用诸如二叉树或哈希（Hash）等算法进行快速搜索，提高了系统的传输效率。
　　安全性较高：连接状态清单是动态管理的。会话完成后防火墙上所创建的临时返回报文入口随即关闭，保障了内部网络的实时安全。同时，状态检测防火墙采用实时连接状态监控技术，通过在会话表中识别诸如应答响应等连接状态因素，增强了系统的安全性。

　　防火墙的硬件平台发展至今，大致可以划分为通用CPU架构、专用集成电路（ASIC,  Application Specific Integrated Circuit）架构、网络处理（NP, Network Processor）架构以及多核处理器架构。下面我们将一一进行介绍。
通用CPU架构
　　通用CPU架构是基于X86平台，使用一颗主CPU来处理业务的架构。网卡芯片与CPU使用PCI总线进行数据的传输。传统32位PCI总线，网卡芯片与CPU之间的数据传输速率理论上可以达到1056Mbits/s，理论上满足千兆防火墙的需要。但是X86平台使用的是共享总线的一种架构，因此如果有两块网卡同时传输数据，则平均下来每块网卡只能获得528 Mbits/s的速率。网卡数量越多，获得的速率就越低，并且只要超过一块网卡，速率就低于1000Mbits/s。另外，基于X86平台的架构，其线程调度机制是采用中断方式来实现的，因此当网络中出现大量数据小包时，与大包相比，相同的流量将产生更多的中断，此时防火墙的吞吐量就只有20％左右，并且CPU占用率非常高。因此实际上这种基于X86平台的架构就无法满足千兆防火墙的需要，只适合作为百兆防火墙的硬件平台方案。
　　随着硬件技术的发展，后来Intel针对PCI总线提出一种新的解决方案——PCI-Express。PCI-E的主要优势就是数据传输速率高，目前最高可达到10GB/s以上。X86平台使用PCI-E技术后，数据传输速率已经可以满足千兆防火墙的要求，但是其中断机制对整机处理速率的影响仍然存在，因此X86采用PCI-E技术后仍有很大的问题需改进。

ASIC架构
　　相比之下，基于ASIC架构的防火墙从架构上改进了中断机制。ASIC设计专门的ASIC芯片对数据进行加速处理，并且将指令以及算法直接固化到芯片中。数据从网卡收到以后，不经过主CPU处理，而是经过集成在网卡上的ASIC芯片，通过ASIC芯片直接对数据进行处理并转发。这样，数据就并非全部需要通过主CPU来处理，芯片处理也不采用中断机制，自然可以明显提高了防火墙的处理性能。
　　但ASIC也有它自己的短板，就是它的灵活性及扩展性非常差。ASIC架构毕竟采用的是芯片，然而芯片的开发非常困难，能够处理的业务也非常有限，面对应用较为复杂的网络时，ASIC架构明显无法胜任。
NP架构
　　NP架构可以说是CPU方案与ASIC方案的一个折衷方案，它在每块网卡上使用了一个网络处理器。网络处理器是专门为网络设备处理网络流量而设计的处理器。NP与X86架构相比，在性能上有着明显的优势。但网络处理器微码编程还是不够灵活，功能的扩展仍然受到一定程度的限制；与ASIC相比，由于处理流程对软件一定程度上的依赖，因而转发性能也比ASIC稍弱。
多核架构
　　从上面可以看出，通用CPU架构、NP架构以及ASIC架构各有优缺点。多核架构的出现极大地缓和了这些矛盾。多核架构中每一个核都是一个通用CPU，相对于多CPU方案提供了更高的集成度、更高效的核间通信和管理机制。少量的核完成管理功能，大多数核完成例行的业务处理功能。有些CPU通过协处理器来实现加解密，而且由于可以采用c编程，功能扩展不受控制，平台可以实现VPN加解密、防火墙、UTM等业务而不影响相应性能。
多核作为新一代的硬件平台，对软件开发技术的要求非常高，如何有效实现和发挥多核技术的优势，是基于多核硬件平台进行产品开发的巨大挑战。对这种基于多核硬件平台的防火墙，华为防火墙融合了许多技术优势，更完美地利用多核技术，如多核操作系统SOS（Security Operation System）。多核处理器有强大的并行处理能力和I/O能力，硬件辅助数据报文调度能力，但是通用的操作系统在CPU内核数量增加的情况下，效率下降很快。SOS系统高效、稳定、安全，适合作为高性能网络转发、安全业务开发平台，支持高效的报文调度，并发处理，最大程度的提高多核CPU的利用率。

防火墙组网方式——二层以太网接口

• 在此组网方式下，防火墙只进行报文转发，不能进行路由寻址，与防火墙相连两个业务网络必须在同一个网段中。此时防火墙上下行接口均工作在二层，接口无IP地址。
• 防火墙此组网方式可以避免改变拓扑结构造成的麻烦，只需在网络中像放置网桥（Bridge）一样串入防火墙即可，无需修改任何已有的配置。IP报文同样会经过相关的过滤检查，内部网络用户依旧受到防火墙的保护。

防火墙组网方式——三层以太网接口

• 在此组网方式时，防火墙位于内部网络和外部网络之间时，与内部网络、外部网络相连的上下行业务接口均工作在三层，需要分别配置成不同网段的IP地址，防火墙负责在内部网络、外部网络中进行路由寻址，相当于路由器。
• 此组网方式，防火墙可支持更多的安全特性，比如NAT 、UTM等功能，但需要修改原网络拓扑，例如，内部网络用户需要更改网关，或路由器需要更改路由配置等。因此，做为设计人员需综合考虑网络改造、业务中断等因素。

什么是安全区域？

• 安全区域（Security Zone），或者简称为区域（Zone）。
• Zone是本地逻辑安全区域的概念。
• Zone是一个或多个接口所连接的网络。

Zone的作用

• 安全策略都基于安全区域实施
• 在同一安全区域内部发生的数据流动是不存在安全风险的，不需要实施任何安全策略。
• 只有当不同安全区域之间发生数据流动时，才会触发设备的安全检查，并实施相应的安全策略。
• 在防火墙中，同一个接口所连网络的所有网络设备一定位于同一安全区域中，而一个安全区域可以包含多个接口所连的网络。

防火墙安全区域分类

• 防火墙支持多个安全区域，缺省支持非受信区域（Untrust）、非军事化区域（DMZ）、受信区域（Trust） 、 本地区域（Local） 四种预定义的安全区域外，还支持用户自定义安全区域。
• 防火墙缺省保留的四个安全区域相关说明如下：
  • 非受信区域Untrust：低安全级别的安全区域，安全级别为5。
  • 非军事化区域DMZ：中等安全级别的安全区域，安全级别为50。
  • 受信区域Trust：较高安全级别的安全区域，安全级别为85。
  • 本地区域Local：最高安全级别的安全区域，安全级别为100。
• 这四个安全区域无需创建，也不能删除，同时各安全级别也不能重新设置。安全级别用1 ～ 100 的数字表示，数字越大表示安全级别越高。
• 需要注意的是，将接口加入安全区域这个操作，实际上意味着将该接口所连网络加入到安全区域中，而该接口本身仍然属于系统预留用来代表设备本身的Local安全区域 。
• USG防火墙最多支持32个安全区域。
• 在防火墙中是以接口为单位来进行分类，即同一个接口所连网络的所有网络设备一定位于同一安全区域中，而一个安全区域可以包含多个接口所连的网络。这里的接口既可以是物理接口，也可以是逻辑接口。所以可以通过子接口或者VLAN IF等逻辑接口实现将同一物理接口所连的不同网段的用户划入不同安全区域的功能。
  思考：
  1）若不同接口均属于同一个安全区域的场景下，域间安全转发策略是否会生效？
• 

防火墙安全区域的方向

• 两个安全区域之间（简称安全域间）的数据流分两个方向：
• 入方向（inbound）：数据由低安全级别的安全区域向高安全级别的安全区域传输的方向；
• 出方向（outbound）：数据由高安全级别的安全区域向低安全级别的安全区域传输的方向；
• 高优先级与低优先级是相对的。
• 不同安全级别的安全区域间的数据流动都将激发USG防火墙进行安全策略的检查。可以事先为同一安全域间的不同方向设置不同的安全策略，当有数据流在此安全域间的两个不同方向上流动时，将触发不同的安全策略检查。
• 

防火墙支持以下特性：

• 路由
  • IPv4路由和IPv6路由
  • 支持静态路由
  • 支持RIP、OSPF、BGP、ISIS等动态路由
  • 支持路由策略和路由叠代
•  统一管理
• SNMP
• Web管理
• NTP
• Ethernet
  • 支持二层、三层以太网接口。支持二层、三层以太网接口之间互相切换
  • Eth-Trunk和VLAN
• 安全
• UTM（统一威胁管理）
• 接入技术
• 

　　

　　防火墙的主要功能是策略（policy）和机制（mechanism）的集合，它通过对流经数据流的报文头标识进行识别，以允许合法数据流对特定资源的授权访问，从而防止那些无权访问资源的用户的恶意访问或偶然访问。

• 实现访问控制的主要工作过程如下：
• 1. 对于需要转发的报文，防火墙先获取报文头信息，包括IP 层所承载的上层协议的协议号、报文的源地址、目的地址、源端口号和目的端口号
•  2. 将报文头信息和设定的访问控制规则进行比较。
•  3. 根据比较结果，按照访问控制规则设定的动作，允许或拒绝对报文的转发。

　　深度报文检测（DPI, Deep packet inspection）是相对普通报文分析而言的一种新技术，普通报文检测仅仅分析IP包的四层以下的内容，包括源地址、目的地址、源端口、目的端口以及协议类型，而DPI则在此基础上，增加了对应用层的分析，可识别出各种应用及其内容。
　　针对不同的协议类型，识别技术一般可划分为以下三类。

• 基于特征字的识别技术
  • 不同的应用通常会采用不同的协议，而各种协议都有其特殊的指纹，这些指纹可能是特定的端口、特定的字符串或者特定的Bit序列。基于特征字的识别技术，正是通过识别数据报文中的指纹信息来确定业务流所承载的应用。
• 基于应用层网关识别技术
  • 我们知道，有一类业务的控制流与业务流是分离的，其业务流没有任何特征。例如，SIP、H323协议都属于这种类型的协议。SIP、H323通过信令交互过程，协商得到其数据通道，一般是RTP格式封装的语音流。也就是说，纯粹检测RTP流并不能确定这条RTP流是通过哪种协议建立起来的，只有通过检测SIP或H323的协议交互，才能得到其完整的分析。
• 基于行为模式识别技术
  • 在实施行为模式识别技术之前，必须首先对终端的各种行为进行研究，并在此基础上建立起行为识别模型。从E-mail的内容看，垃圾邮件（SPAM）业务流发送邮件的速率、目的邮件地址数目、变化频率等参数，建立起行为识别模型，并以此分拣出垃圾邮件。

 安全接入控制网关（Security Access Control Gateway，简称SACG）：控制终端的网络访问权限，对不同的用户，不同安全状况的用户开放不同的权限。由SC控制服务器对终端进行认证，并把结果通知SACG，SACG根据UCL策略决定终端的访问权限，防止外部用户访问企业内部网络，防止内部合法但不安全用户连接到企业网络进一步感染公司网络。
　　以SACG接入设备为参考点，内部网络划分为主要的三个逻辑区域：

• 接入区域：接入区域由一组客户端组成，这些客户端安装了TSM代理Agent，通过二层交换或者三层交换组成一个本地网络；
• 认证前域：认证前域是一个逻辑区域，通过对SACG进行ACL配置，可以确保用户在获得接入授权之前，只能访问ACL指定的网络或者主机。终端安全管理系统的认证前域主要包括SM管理服务器、SC控制服务器、AD域管理服务器、防病毒服务器、补丁服务器等；
• 认证后域：认证后域是一个逻辑区域，与认证前域相对应。通过对SACG进行配置，当用户获得业务授权后，就可以访问认证后域的业务资源。比如OA业务服务器、ERP业务服务器、财务服务器等；

双机热备技术

• 提供冗余备份功能
• 统一设备上所有接口的主备状态
• 同步防火墙之间会话信息即配置信息

• 通常，内部网络的主机都配置一条缺省路由，下一跳为出口路由器的接口IP地址。 内外部用户的交互报文全部通过Router。如果Router出现故障，内部网络中所有以Router为缺省路由下一跳的主机与外部网络之间的通讯将中断，通讯可靠性无法保证。
• 虚拟路由冗余协议（VRRP, Virtual Router Redundancy Protocol）将局域网的一组路由器组织成一个虚拟路由器，称之为一个备份组。其中，仅有一台设备处于活动状态，称为主用设备（Master）；其余设备都处于备份状态。
• 借助VGMP机制，可以实现对多个VRRP备份组的状态一致性管理、抢占管理和通道管理等，保证一台防火墙上的接口同时处于主用或备用状态，实现防火墙防火墙VRRP状态的一致性。
• 另外，启动HRP功能后，Master和Backup设备之间将实时同步关键配置命令和会话表状态信息。如果Master设备发生故障，导致VRRP管理组状态改变，引起VRRP备份组抢占，从而实现Backup设备平滑地接替工作。
• 

链路可达检测功能 (IP Link技术)

• IP-Link自动侦测是利用ICMP或者ARP协议的特征对业务链路正常与否进行的自动侦测。它定时地向指定的目的IP地址发送ICMP或者ARP请求，等待相应目的IP地址的回应，根据回应的情况判断网络的连通状况。
• 如果在设定的时限内未收到回应报文，则认为链路发生故障，并进行后续相应的操作。当原来认为发生故障的链路，在之后设定的时限内，有连续3个回应报文返回，则认为发生故障的链路已经恢复正常，此后进行链路恢复的相关操作。
• IP-Link自动侦测的侦测结果（目的主机可达或者不可达）可以被其他特性所引用，主要应用包括：
• 应用在静态路由中
• 当IP-Link侦测出链路不可达时，防火墙会对自身的静态路由进行相应的调整。如原来高优先级的静态路由所经链路被检测到发生故障，防火墙会选择新的链路进行业务转发。如果高优先级的静态路由链路故障恢复正常时，防火墙又会进行静态路由的调整，用高优先级的路由替换低优先级的路由，保证每次用到的链路是最高优先级的并且是可达的，以保持业务的持续进行。
• 应用在双机热备份中
• 当IP-Link侦测出链路不可达时，防火墙会对自身VGMP的优先级进行相关调整，引发主备切换，从而保证业务能够持续流通。

 QoS技术

• QoS提供的主要的流量管理技术包括：流分类、流量监管、流量整形、拥塞管理和拥塞避免是实现有区别地实施服务的基础。它们主要完成如下功能：
• 流分类依据一定的匹配规则识别出对象，是有区别地实施服务的前提。
• 流量监管对进入网络的特定流量的规格进行监管。当流量超出规格时，可以采取限制或惩罚措施，以保护客户的商业利益和网络资源不受损害。
• 流量整形限制从某一网络流出的某一连接的流量，使这一流量的报文以比较均匀的速度向外发送，是一种主动调整流量输出速率的措施。
• 拥塞管理是一种当拥塞发生时制定资源的调度策略从而决定报文转发时的处理次序的机制，主要调度策略包括FIFO、CQ、PQ、WFQ、RTP等队列。
• 说明： 对于三层接口，USG5500只有在接口上配置了接口限速功能后，接口上的队列功能才会生效，基于类的WRR功能不受该限制。
• 拥塞避免是指通过监视网络资源（如队列或内存缓冲区）的使用情况，在拥塞有加剧的趋势时，主动丢弃报文，通过调整网络的流量来解除网络过载的一种流控机制。

防火墙日志审计

• Elog是华为防火墙专用的日志软件，可以支持通用的Syslog日志和二进制日志。
• Syslog日志
• 像普通系统日志以及流量监控日志（除DPI流量监控日志外）采用Syslog方式以文本格式进行输出。这些日志信息必须通过信息中心模块进行日志管理和输出重定向，然后显示在终端屏幕上，或者发送给日志主机进行存储和分析。
• 二进制日志
• 像会话日志中NAT/ASPF产生的日志、DPI流量监控日志，对于这种类型的日志提供了一种“二进制”输出方式，直接输出到二进制日志主机以便对日志进行存储和分析，无需信息中心模块的参与。

 网络攻击主要分为四大类：

• 流量型攻击
  • 流量型攻击是指攻击者通过大量的无用数据占用过多的资源以达到服务器拒绝服务的目的。
• 扫描窥探攻击
  • 扫描窥探攻击主要包括IP地址扫描和端口扫描，从而准确的发现潜在的攻击目标。
• 畸形报文攻击
  • 畸形报文攻击是指通过向目标系统发送有缺陷的IP报文。主要的畸形报文攻击有Ping of Death、Teardrop等。
• 特殊报文攻击
  • 特殊报文攻击是指攻击者利用一些合法的报文对网络进行侦察或者数据检测，这些报文都是合法的应用类型，只是正常网络很少用到。

防火墙报文统计

• 对于防火墙来说，不仅要对数据流量进行监控，还要对内外部网络之间的连接发起情况进行检测，因此要进行大量的统计、计算与分析。
• 防火墙对报文统计结果的分析有如下两个方面：
• 专门的分析软件事后分析日志信息。
• 防火墙实时完成一部分分析功能。
• 通过对报文统计分析，防火墙实现了对内部网络的保护。如：
  • 通过分析外部网络向内部网络发起的TCP 或UDP 连接总数是否超过设定的阈值，可以确定是否需要限制该方向的新连接发起，或者限制向内部网络某一IP地址发起新连接。
  • 通过分析发现系统的总连接数超过阈值，则可以加快系统的连接老化速度，以保证新连接能够正常建立，防止因系统太忙而导致拒绝服务情况的发生

防火墙黑名单

• 黑名单是一个IP地址列表。防火墙将检查报文源地址，如果命中, 丢弃所有报文
• 快速有效地屏蔽特定IP地址的用户。
• 创建黑名单表项，有如下两种方式：
• 通过命令行手工创建。
• 通过防火墙攻击防范模块或IDS模块动态创建。
• 防火墙动态创建黑名单的工作过程如下：
  1. 根据报文的行为特征检测到来自特定IP地址的攻击企图。
  2. 自动将这一特定IP地址插入黑名单表项。
  3. 防火墙根据黑名单丢弃从该IP地址发送的报文，从而保障网络安全。
  通过在黑名单中引用高级ACL，可绑定黑名单和高级ACL，确保一些特殊用户免受黑名单的干扰。此时的安全策略是根据高级ACL规则确定是否允许该报文通过。对于ACL规则拒绝的流量进行丢弃，而ACL规则允许的流量则允许通过，此时即使用户被加入黑名单，仍能正常通信。

负载均衡

• 负载均衡采用以下技术，将用户流量分配到多台服务器：
• 虚服务技术。防火墙配置负载均衡功能后，多个服务器共用一个公网IP地址（即虚拟IP地址），这些服务器被称作真实服务器。用户对这些真实服务器上内容的访问都通过该虚拟IP地址进行。每一个真实服务器使用不同的私网IP地址（即实IP地址），由多层交换机/防火墙将访问虚拟IP地址的流量按照预先配置的算法分配到每一个真实服务器。
• 服务器健康性检测。即防火墙通过周期性的探测真实服务器，实现健康性检查功能。真实服务器如果可用，则返回应答报文；如果不可用，一段时间后防火墙将禁止该真实服务器，将流量按配置好的策略分配到其他的实服务器上。
• 基于流的转发。即通过指定算法，将数据流发送到各个真实服务器进行处理。

防火墙性能指标 — 吞吐量

• 吞吐量是指防火墙对报文的处理能力。RFC2647中定义，防火墙的吞吐量是指防火墙对指定的数据载荷每秒钟接收、处理并正确转发到目的接口的比特数。在测试防火墙吞吐量时将忽略错误流量以及重传的流量，即只计算能够正确转发到目的接口的流量；另外防火墙吞吐量还需要对不同载荷级别的流量、不同方向的流量等进行测试，最终取平均值。对于载荷级别，业界一般都是使用1K～1.5Kbyte的大包来衡量防火墙对报文的处理能力。但网络流量大部分是200Byte的报文，因此测试时还应考虑小包吞吐量。同时由于防火墙需要配置规则，因此还需要测试防火墙支持ACL下的转发性能。

防火墙性能指标 — 时延

• 定义：数据包的第一个比特进入防火墙到最后一个比特输出防火墙的时间间隔指标，是用于测量防火墙处理数据的速度理想的情况

防火墙性能指标 — 每秒新建连接数

• 定义：指每秒钟可以通过防火墙建立起来的完整TCP连接
• 该指标是用来衡量防火墙数据流的实时处理能力

• 每秒新建连接数指的是每秒钟可以通过防火墙建立起来的完整TCP连接。

• 由于防火墙的连接是根据当前通信双方状态而动态建立的。每个会话在数据交换之前，在防火墙上都必须建立连接。如果防火墙建立连接速率较慢，在客户端反映是每次通信有较大延迟。因此支持的指标越大，转发速率越高。在受到攻击时，这个指标越大，抗攻击能力越强；另外这个指标越大，状态备份能力也越强。 

 防火墙性能指标 — 并发连接数

• 定义：由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。
• 由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。并发连接数指标越大，抗攻击能力也越强。当防火墙上并发连接数达到峰值后，新的连接请求报文到达防火墙时将被丢弃。

设备登录管理

• Console:通过RS-232配置线连接到设备上，使用Console方式登录到设备上，进行配置。
  •  USG配置口登录的缺省用户名为admin，缺省用户密码为Admin@123。其中，用户名不区分大小写，密码要区分大小写。
  •  如果使用PC进行配置，需要在PC上运行终端仿真程序（如Windows3.1的Terminal，Windows98/Windows2000/Windows XP的超级终端），建立新的连接。如图所示，键入新连接的名称，单击“确定”。
  • 在串口的属性对话框中设置波特率为9600，数据位为8，奇偶校验为无，停止位为1，流量控制为无，单击“确定”，返回超级终端窗口。
  • 打开设备电源开关。设备上电后，检查设备前面板上的指示灯显示是否正常。
• Telnet:   通过PC终端连接到网络上，使用Telnet方式登录到设备上，进行配置。
• Web :     在客户端通过Web浏览器访问设备，进行控制和管理。
  • 设备缺省可以通过GigabitEthernet0/0/0接口来登录Web界面。
  • 将管理员PC的网络连接的IP地址获取方式设置为“自动获取IP地址”。
  • 将PC的以太网口与设备的缺省管理接口直接相连，或者通过交换机中转相连。
  • 在PC的浏览器中访问http://192.168.0.1，进入Web界面的登录页面。
  • 缺省用户名为admin，密码为Admin@123
  • 缺省情况下，设备开启HTTP；建议开启HTTPS，提高安全性。用户可以通过用户名/密码：admin/Admin@123登录，为保证系统安全，登录后请修改密码。
    只有GigabitEthernet 0/0/0接口加入Trust域并提供缺省IP地址（192.168.0.1/24），并开放Trust域到Local域的缺省包过滤，方便初始登录设备。
    缺省情况下开放Local域到其他任意安全区域的缺省包过滤，方便设备自身的对外访问。
    其他接口都没有加安全区域，并且其他域间的缺省包过滤关闭。要想设备转发流量必须将接口加入安全区域，并配置域间安全策略或开放缺省包过滤。
• SSH:   提供安全的信息保障和强大认证功能，保护设备系统不受IP欺骗、明文密码截取等攻击。

设备文件管理

• 配置文件是设备启动时要加载的配置项。用户可以对配置文件进行保存、更改和清除、选择设备启动时加载的配置文件等操作。系统文件包括USG设备的软件版本，特征库文件等。一般软件升级需要管理系统文件。
• 系统软件升级。上传系统软件到设备可通过TFTP方式和FTP方式上传系统软件到设备上。 升级系统软件 配置设备下次启动时使用的软件系统。
• License是设备供应商对产品特性的使用范围、期限等进行授权的一种合约形式，License可以动态控制产品的某些特性是否可用。
• saved-configuration:
  • USG设备下次上电启动时所用的配置文件，存储在USG的Flash或者CF卡，重启不会丢失。
• current-configuration:
  • USG设备当前生效的配置，命令行和Web操作都是修改current-configuration。存储在USG的内存中，重启丢失。
• 保存配置
  • 作用：为了使当前配置能够作为防火墙下次上电时的起始配置。
  • 方法1 (命令行)：在用户视图下，执行命令save。
  • 方法2 (Web)：选择“主页”右上方的“保持”按钮。如下图所示。
• 重启防火墙
  • 作用：防火墙将重新启动，并将重启动作记录至日志中。
  • 方法1 命令行：在用户视图下，执行命令reboot命令。
  • 方法2 Web：选择“系统 >维护>系统重启”如图所示。
•  擦除配置文件。
  • 作用：配置文件被擦除后，防火墙下次上电将采用缺省的配置参数进行初始化。
  • 方法1(命令)：在用户视图下，执行命令reset saved-configuration。
  • 方法2(Web)：选择“系统 >维护>配置管理”，执行恢复出厂配置按钮
  • 方法3（硬件reset按钮）：如果设备没有上电：先按住RESET按钮，再打开电源开关。当面板上设备指示灯同时以2次/秒的频率闪烁时，松开RESET按钮，设备会使用缺省配置启动。
  • 方法4（硬件reset按钮）：如果设备已经正常启动：长时间（超过10秒）按住RESET。设备将重启并使用缺省配置进行启动。
• 配置下次启动时的系统软件
  • 命令行：在用户视图下，执行命令startup system-software sysfile。
  • Web：选择“系统 >维护>系统更新”，“选择”下次启动系统软件按钮。