工作原理:
硬件防火墙的内部划分为多个区域,所有的转发接口都唯一地属于某一个区域,防火墙的安全规则定义在安全区域之间,一般防火墙上默认保留如下四个安全区域。
1、非受信区:低级的安全区域。
2、非军事化区:中级的安全区域。
3、受信区域:叫高级的区安全区域。
4、本地区与:最高级别的安全区域。
区域的数据流分两个方向:
一个为入方向,数据由低级别的安全区域向高级别的安全区域传输的方向。
另一个为出方向,数据由高级别的安全区域向低级别的安全区域传输方向。
另外,本域内不同接口间不过滤直接转发,进、出接口相同的报文被丢弃,接口没有加入域之前不能转发包文。
性能指标:
1、吞吐量。
吞吐量是指防火墙在状态检测急之下能够处理一定包长数据的最大转发能力,业界一般采用大包衡量防火墙对报文的处理能力。
2、最大并发连接数。
由于防火墙是针对连接进行处理报文的,并发连接数目是指防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。
3、每秒新建连接数。
每秒新建连接数指每秒钟可以通过防火墙建立起来的完整TCP/UDP连接。该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度,如果
该指标低会造成用户明显感觉上网速度慢,在用户较大的情况下容易造成防火墙处理能力急剧下降,并且会造成防火墙对网络病毒防范能力很差。
硬件防火墙的工作模式:
1、防火墙的路由模式
2、防火墙的透明模式
3、防火墙的混合模式