网络攻防原理与技术 第3版 教案 -第12讲 网络防火墙

内容备注《网络攻防原理与技术》课程教案讲课题目：第十二讲网络防火墙目的要求：了解网络防火墙的基本概念；掌握网络防火墙的工作原理；掌握网络防火墙的体系结构；了解防火墙评价标准；了解网络防火墙的发展趋势。重点难点：网络防火墙的工作原理；网络防火墙的体系结构。方法步骤：理论讲授。器材保障：电脑、投影仪。主要教学内容:一、防火墙概述(一)防火墙的相关概念网络型防火墙（network-basedfirewall），简称网络防火墙，部署于不同安全域之间（通常是在内部网络和外部网络的边界位置），对经过的数据流进行解析，具备网络层、应用层访问控制及安全防护功能的网络安全产品。网络防火墙主要有两种产品形态：单一主机防火墙、路由器集成防火墙。单一主机防火墙，也称为硬件防火墙，是目前最常见的网络防火墙，其硬件平台是一台主机，通常是一台高性能服务器，有至少两块网卡，每块网卡连接不同的网络，主机上运行防火墙软件，执行防火墙功能。除了具有专用硬件运行平台的单一主机防火墙之外，一些网络防火墙作为一个模块集成在路由器中，与路由功能共用一个硬件平台，这就是路由器集成防火墙。目前，大多数中高档路由器都支持这种模式的防火墙。主机防火墙（host-basedfirewall）部署于计算机（包括个人计算机和服务器）上，也称为个人防火墙，提供网络层访问控制，应用程序访问限制和攻击防护功能的网络安全产品。主机防火墙的网络层访问控制功能与网络防火墙的网络层访问控制功能类似。主机防火墙本质是一类安装在个人计算机上的应用软件，位于主机和外部网络之间，为单台主机提供安全防护。云防火墙的功能与传统防火墙类似，差别主要有两点：一是它部署在云上，以云服务的形式为用户提供防火墙功能，所以也称为“防火墙即服务（FirewallasaService，FWaaS）”；二是保护的对象主要是云上网络资产，这些云上资产（可能来自于不同云服务提供商）形成用户的虚拟专有云（VirtualPrivateCloud，VPC），类似于传统防火墙保护的内网资产。(二)网络防火墙的功能防火墙对内外网之间的通信进行监控、审计，在网络周界处阻止网络攻击行为，保护内网中脆弱以及存在安全漏洞的网络服务，防止内网信息暴露。具体来说，网络防火墙具有以下功能：1.网络层控制在网络层对网络流量进行控制，包括访问控制和流量管理。访问控制功能主要包括：包过滤，对进出的网络数据包的源IP地址、目的IP地址、源端口、目的端口、协议类型等进行检查，根据预定的安全规则决定是否阻止数据包通过；网络地址转换（NAT），根据需要实现多对一、一对多、多对多的内外网地址转换。流量管理是指根据策略调整客户端占用的带宽，主要功能包括：带宽管理，根据源IP、目的IP、应用类型和时间段对流量速率进行控制、速率保证；连接数控制，限制单个IP的最大并发会话数和新建连接速率，防止大量非法连接产生时影响网络性能；会话管理，当会话处于不活跃状态一定时间或会话结束后，终止会话。2.应用层控制在应用层对网络流量进行控制，包括：用户管控，基于用户认证的网络访问控制功能；应用类型控制，根据应用特征识别并控制各种应用流量，包括标准应用，也支持自定义应用的流量控制；应用内容控制，基于应用的内容对应用流量进行控制，如根据HTTP协议报文的请求方式、传输内容中的关键字等Web应用流量进行控制。3.攻击防护识别并阻止特定网络攻击的流量。除了自身提供的攻击防护外，很多防火墙还提供联动接口，通过接口与其他网络安全系统（如入侵检测系统）进行联动，如执行其他安全系统下发的安全策略等。4.安全审计、告警与统计防火墙位于内外网的边界位置，能够监视内外网之间所有的通信数据，可以详尽了解在什么时刻由哪个源地址向哪个目的地址发送了怎样负载内容的数据包。防火墙可以记录下所有的网络访问并进行审计记录，并对事件日志进行管理。同时，防火墙还可以对网络使用情况进行统计分析。二、防火墙的工作原理从具体的实现技术上看，防火墙可以分为包过滤防火墙（Packet-filteringFirewalls）和应用网关防火墙（ApplicationGatewayFirewalls）两类。包过滤防火墙又可以细分为无状态包过滤防火墙（StatelessPacket-filteringFirewalls）和有状态包过滤防火墙（StatePacket-filteringFirewalls）。通常情况下，如果没有特别说明，包过滤防火墙是指无状态包过滤防火墙，而将有状态包过滤防火墙称为状态检测防火墙(StateInspectionFirewalls)。（一）包过滤防火墙包过滤防火墙检查数据包的包头信息，依据事先设定的过滤规则，决定是否允许数据包通过。包过滤防火墙主要在网络层和传输层起作用。包头中的协议类型、源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号、ICMP消息类型以及各种标志位，如TCPSYN标志、TCPACK标志，都可以用作为判定参数。包过滤防火墙通常是具有包过滤功能的路由器，因此也常被称为筛选路由器或屏蔽路由器（ScreeningRouter）。具有包过滤功能的路由器，可以在网络接口设置过滤规则。数据包进出路由器时，路由器依据在数据包出入方向配置的规则处理数据包。如果匹配数据包的规则允许数据包发送，数据包将依据路由表进行转发。如果匹配数据包的规则拒绝数据包发送，数据包将被直接丢弃。过滤规则是包过滤防火墙的核心，每条过滤规则由匹配标准和防火墙操作两部分组成。匹配规则一般基于包头信息，可以是以源地址作为匹配规则，也可以综合地址、端口、协议、标识位等信息构建复合规则。包过滤防火墙执行的操作只有允许和拒绝两种。如果防火墙执行允许操作，数据包能够正常通过防火墙，不受影响。如果防火墙执行拒绝操作，数据包将被丢弃，无法到达目的主机。包过滤防火墙正常工作通常需要满足六项基本要求，即：1）包过滤防火墙必须能够存储包过滤规则。2）当数据包到达防火墙的相应端口时，防火墙能够分析IP、TCP、UDP等协议报文头字段。3）包过滤规则的应用顺序与存储顺序相同。4）如果一条过滤规则阻止某个数据包的传输，那么此数据包便被防火墙丢弃。5）如果一条过滤规则允许某个数据包的传输，那么此数据包可以正常通行。6）从安全的角度出发，如果某个数据包不匹配任何一条过滤规则，那么该数据包应当被防火墙丢弃。从安全的角度看，包过滤防火墙的默认处理方法应当是拒绝数据包。因为如果采用默认允许的策略，一旦安全管理员考虑不充分，一些需要拒绝的数据包类型没有以过滤规则的形式加入ACL，这些数据包将按照默认的允许规则通过防火墙，对网络安全构成威胁。包过滤防火墙主要有以下几方面优点。首先，将包过滤防火墙放置在网络的边界位置，即可以对整个网络实施保护。其次，包过滤操作处理速度快、工作效率高，对正常网络通信的影响小。另外，包过滤防火墙对用户和应用都透明，内网用户无需对主机进行特殊设置。包过滤防火墙也存在一些缺陷。首先，包过滤防火墙主要依赖于对数据包网络层和传输层首部信息的判定，不对应用负载进行检查，判定信息的不足使其难以对数据包进行细致的分析。其次，包过滤防火墙的规则配置较为困难，特别是对于安全策略复杂的大型网络，如果包过滤规则配置不当，防火墙难以有效地进行安全防护。再者，包过滤防火墙支持的规则数量有限，如果规则过多，数据包依次与规则匹配，将降低网络效率。此外，由于数据包中的字段信息容易伪造，攻击者可以通过IP欺骗等方法绕过包过滤防火墙，而包过滤防火墙本身难以进行用户身份认证，这些因素使得攻击者可能绕过包过滤防火墙实施攻击。状态检测防火墙状态检测防火墙是一种有状态的包过滤防火墙，能够基于网络连接状态信息进行包过滤。状态检测防火墙在接收到数据包时，将以连接状态表为基础，依据配置的包过滤规则，判断是否允许数据包通过，从而更加有效地保护网络安全。使用状态检测防火墙，提升了攻击者渗透防火墙进行网络攻击的难度。攻击者发出的数据包在防火墙的连接状态表中如果不存在匹配将无法通过防火墙。攻击者即使通过网络嗅探，获得了能够通过防火墙的某个TCP连接的具体信息。但是要采用伪造源地址的方法向内网主机发送数据包，攻击也很难奏效。与无状态防火墙相比，状态检测防火墙能够提供更全面的日志信息，有助于安全管理员更全面的对网络通信情况进行分析，及时发现异常的网络通信行为。状态检测防火墙在使用中存在一些限制。首先，很多网络协议没有状态信息，它们不像TCP协议一样有连接建立、连接维护和连接拆除的具体过程。在这种情况下，只能采用一些变通的方法。其次，一些协议在通信过程中会动态建立子连接传输数据，如FTP协议。FTP的客户端程序在与服务端的21端口建立连接以后，会指定一个随机端口作为数据传输端口并利用PORT命令告知服务端选择的端口。对于此类协议，有状态的包过滤防火墙必须跟踪连接信息，掌握子连接使用的端口并在状态表中记录，从而确保子连接能够通过防火墙。为了建立和管理连接状态表，状态检测防火墙需要付出高昂的处理开销，对硬件设备的性能有更高的要求。应用网关防火墙应用网关防火墙以代理服务器（ProxyServer）为基础，也常称为应用级防火墙，或应用代理防火墙，或代理防火墙。代理服务器作用在应用层，通常被称为应用代理，在内网主机与外网主机之间进行信息交换。如果内网用户试图访问外网服务器，代理服务器在确认内网用户的访问请求后，将访问请求转发给外网服务器。外网服务器的响应数据先到达代理服务器，由代理服务器将响应回送给内网用户。在此过程中，代理服务器位于内网用户与外网服务器之间，对内网用户和外网服务器都完全透明。内网用户认为自己直接和外网服务器进行通信，外网服务器同样认为自己的通信对象就是一台普通的客户机。代理服务器能够理解应用协议，在数据包到达内网用户前拦截并进行详细分析，根据应用上下文对网络通信进行精准的判定，有助于检测缓冲区溢出攻击、SQL注入攻击等等应用层攻击。同时，所有网络数据包的首部和负载都可以被记录，从而实现完善的审计。总体上看，基于代理服务器的应用网关防火墙由于完整实现了所代理的应用协议，所以能够对协议报文进行细粒度的监控、过滤和记录。此外，应用网关防火墙还可以对用户身份进行认证，确保只有允许的用户才能通过。需要说明的是，很多应用网关防火墙也使用静态包过滤、状态监测技术对网络流量进行安全检查。应用网关防火墙也存在一些缺陷，主要表现为以下几点：1）从能力上看，每种应用服务需要专门的代理模块进行安全控制，而不同应用服务采用的网络协议存在较大差异，不能采用统一的方法进行分析，给代理模块的实现带来了很大困难。实际应用中，大部分代理服务器只能支持部分应用服务。2）从性能上看，应用网关防火墙的性能往往弱于包过滤防火墙。究其原因，应用代理需要检查数据负载，分析应用层的内容，而包过滤防火墙只需要检查数据包包头信息。对于相同的数据包，应用代理的检查时间往往要比包过滤防火墙更长。3）从配置和管理的复杂性看，应用网关防火墙需要针对应用服务类型逐一设置，而且管理员必须对应用协议有深入理解，管理的复杂性较高。下一代防火墙Gartner于2009年发布了《定义下一代防火墙（DefiningtheNext-GenerationFirewall）》研究报告，给出了下一代防火墙定义：一种深度包检测防火墙，超越了基于端口、协议的检测和阻断，增加了应用层的检测和入侵防护，得到了业界的认可。下一代防火墙应该具备传统企业级防火墙的全部功能，如基础的包过滤、状态检测、NAT、VPN等，以及面对一切网络流量时保持高稳定性和可用性。此外，下一代防火墙还必须具有以下几种功能：（1）针对应用、用户、终端及内容的高精度管控。高精度应用识别和管控是下一代防火墙实现全业务精准访问控制的基础，不仅需要管控平台化应用的子功能，还需要针对用户、终端和内容进行高精度的识别控制。（2）外部安全智能。下一代防火墙需要具有与外部云计算联动的能力，如病毒云查杀，利用大数据分析技术应对新型安全威胁。（3）一体化引擎多安全模块智能数据联动。下一代防火墙必须采用面向应用的一体化智能防护引擎架构，基于深层次、高精度的智能流量识别技术，同时具备多个安全模块，包括入侵防护、病毒防御、僵尸网络隔离、Web安全防护、数据泄漏防护等，使之能够全方位地对抗安全威胁，并实现智能的数据联动以提供更全面的安全决策信息。（4）可视化智能管理。提供简单的人机交互界面及直观的异常输出呈现，降低复杂网络环境下的安全配置难度，提升异常输出的丰富度、友好度以及安全事件溯源的速度。三、防火墙的体系结构（一）相关概念1.堡垒主机。堡垒主机是指经过安全增强的网络主机，允许外网主机访问并可向外网提供一些网络服务（即作为应用代理），亦可访问内网，同时对经过本机的内、外网的网络流量进行安全检查、控制、审计等。堡垒主机的安全加固措施主要包括：使用安全性较高的操作系统，及时安装补丁程序；关闭非必需的服务；避免使用不必要的软件；禁用不必要的账户；有限制地访问磁盘，避免被植入恶意程序。通过这些举措来增强堡垒主机的安全，防止其被攻击者控制。2.安全域。安全域是指具有相同安全要求的网络区域。通常情况下，防火墙将网络区域按安全等级划分成5种，安全等级从低到高分别是：不信任域（untrustzone）、非军事化区或隔离区或中立区（DemilitarizedZone，DMZ）、信任域（trustzone）、本地域（localzone）、管理域（managementzone）。不信任域的安全等级最低，通常将外网，如Internet定义为不信任域。同一安全域内的网络主机可以相互通信，而不同安全域之间的通信则需要在防火墙安全策略允许的情况下才能进行。防火墙体系结构定义为：防火墙的所有网络安全域以及域间通信控制策略的集合，即防火墙体系结构决定了防火墙支持的网络安全域的种类，以及如何控制不同安全域之间的通信。（二）屏蔽路由器结构屏蔽路由器结构（ScreeningRouterArchitecture），也称为包过滤路由器结构。在这种结构中，除防火墙自身的安全域外，只有两类安全域：不信任域和信任域，分别对应外网（互联网）和内网。防火墙采用包过滤技术对内外网之间的所有通信进行检查、过滤。屏蔽路由器结构具有硬件成本低、结构简单，易于部署的优点。要确保防护体系的功能充分发挥，包过滤防火墙是首要的保护对象，要避免其被攻击者控制。由于包过滤防火墙通常在路由器上实现，而路由器对外提供的网络服务数量很少，因此，包过滤防火墙的防护相对于一般主机的防护而言，简单易于实施。屏蔽路由器结构作为最简单的一种防火墙结构，完全依赖核心组件包过滤路由器，一旦包过滤路由器工作异常则防火墙将失效。如果包过滤路由器配置不当，将导致恶意流量通过。若包过滤路由器被攻击者控制，攻击者能够随意修改防火墙的过滤规则。此外，包过滤路由器的日志记录功能较弱，无法进行用户身份认证。（三）双宿主机结构在双宿主机结构（Dual-HomedHostArchitecture）中，防火墙连接的网络区域也分为不信任域和信任域，不同之处在于防火墙运行平台是一台双宿堡垒主机，而不是包过滤路由器，这种结构也称为双宿堡垒主机结构。堡垒主机的两个网络接口分别与受保护的内网和存在安全威胁的外部网络（互联网）相连。在双宿主机结构中，堡垒主机上运行应用网关防火墙软件，在内外网之间转发网络应用数据包，以及提供一些设定的网络服务。内外网主机无法直接通信，所有的通信数据经由堡垒主机转发，堡垒主机可以监视内外网之间的所有通信。如果禁止路由功能，堡垒主机连接的2个网络无法通过该主机相互通信，但是每个网络都可以访问堡垒主机提供的网络服务。双宿主机结构的主要缺点在于这种体系结构的核心防护点是双宿堡垒主机，一旦堡垒主机被攻击者成功控制，那么外网主机将可以直接访问内部网络，防火墙的防护功能完全丧失。（四）屏蔽主机结构屏蔽主机结构（ScreenedHostArchitecture）是屏蔽路由器结构和双宿主机结构的有机组合，利用具有包过滤功能的路由器将堡垒主机与外部互联网（不信任域）相连。通常在包过滤路由器上配置过滤规则，限定外网主机只能直接访问堡垒主机，无法直接访问内网其它主机。内、外网之间的通信都经由堡垒主机转发。屏蔽主机结构中，堡垒主机必须部署在包过滤防火墙之后，因为包过滤路由器可以对堡垒主机和内网的其他主机实施安全防护。如果两者位置对调，堡垒主机直接与互联网相连，包过滤路由器与内部网络相连，必须允许堡垒主机与内网主机相互通信。一旦堡垒主机被攻击者控制，攻击者可以利用堡垒主机直接访问内部网络，包过滤路由器也就无法发挥对内网的防护作用，整个体系结构等同于双宿主机结构。屏蔽主机结构的优点主要有两方面。首先，无论内部网络如何变化都不会对包过滤路由器和堡垒主机的配置产生影响。其次，安全风险主要集中在包过滤路由器和堡垒主机，只要这两个组件本身不存在漏洞并且配置完善，攻击者很难对内部网络实施攻击。屏蔽主机结构也存在一些缺陷。首先，堡垒主机的安全性非常关键。其次，包过滤路由器也必须保证安全。一旦包过滤路由器被攻击者掌控，攻击者的攻击数据包可以绕过堡垒主机威胁内网安全。（五）屏蔽子网结构屏蔽子网结构（ScreenedSubnetArchitecture）在几种防火墙体系结构中具有最高的安全性。在安全域的划分上，除了不信任的外网和信任的内网外，屏蔽子网结构增加了DMZ域。此外，该结构用两台包过滤路由器将DMZ中的主机与内部网络和外部网络分割开来。内网主机和外网主机均可以对被隔离的子网（DMZ）进行访问，但是禁止内、外网主机穿越子网直接通信。在被隔离的子网中，除了包过滤路由器之外至少包含一台堡垒主机（单宿或双宿），该堡垒主机作为应用网关防火墙，在内外网之间转发通信数据。DMZ区的堡垒主机是内、外网通信的唯一通道。因此，通过对堡垒主机进行配置，可以细粒度地设定内外网之间允许哪些网络通信。内部包过滤路由器的防护功能主要体现在两个方面。首先，内部包过滤路由器可以使内部网络避免遭受源于外网和DMZ区的侵扰。其次，以规则的形式限定内网主机只能经由DMZ区的堡垒主机访问外部网络。对于这种屏蔽子网结构，黑客要侵入内网，必须攻破外部包过滤路由器，设法侵入DMZ区的堡垒主机。由于内网中主机之间的通信不经过DMZ区，因此，即使黑客侵入堡垒主机，也无法获取内网主机间的敏感通信数据。黑客只有在控制内部包过滤路由器后，才能进入内网实施破坏。屏蔽子网结构增加了外网攻击者实施攻击的难度，安全性高。其主要缺点是管理和配置较为复杂，只有在两台包过滤路由器和一台堡垒主机都配置完善的条件下，才能充分发挥安全防护作用。防火墙的部署方式防火墙有多种部署方式，常见的有透明模式、网关模式和NAT模式等。透明模式，也称为“桥接模式”或“透明桥接模式”。当防火墙处于“透明”模式时，防火墙只过滤通过的数据包，但不会修改数据包包头中的任何信息，其作用更像是处于同一VLAN的2层交换机或者桥接器，防火墙对于用户来说是透明的。透明模式的优点包括无需改变原有网络规划和配置；当对网络进行扩容时也无需重新规划网络地址，不足之处在于灵活性不足，也无法实现更多的功能，如路由、网络地址转换等。网关模式，也称为“路由模式”。当防火墙工作在“网关”模式时，其所有网络接口都处于不同的子网中。防火墙不仅要过滤通过的数据包，还需要根据数据包中的IP地址执行路由功能。防火墙在不同安全区间转发数据包时，一般不会改变IP数据包包头中的源地址和端口号。网关模式适用于内外网不在同一网段的情况，防火墙一般部署在内网，设置网关地址实现路由器的功能，为不同网段进行路由转发。网关模式相比透明模式具备更高的安全性，在进行访问控制的同时实现了安全隔离，对内网提供了一定的机密性保护。NAT模式下，防火墙不仅要对通过的数据包进行安全检查，还需执行网络地址转换功能：对内部网络的IP地址进行地址翻译，使用防火墙的IP地址替换内部网络的源地址向外部网络发送数据；当外部网络的响应数据流量返回到防火墙后，防火墙再将目的地址替换为内部网络的源地址。NAT模式使用地址转换功能可确保外部网络不能直接看到内部网络的IP地址，进一步增强了对内部网络的安全防护。同时，在NAT模式的网络中，内部网络可以使用私有地址，进而解决IP地址数量不足的问题。NAT模式可以适用于所有网络环境，为被保护网络提供的安全保障能力也最强。实际应用中，一个网络常常同时采用多种模式部署防火墙。防火墙的评价标准防火墙产品除了在处理器类型、内存容量、网络接口、存储容量等硬件参数方面存在差异之外，还有一些重要的评价指标常常用于衡量防火墙性能，是防火墙选购时的重要参考因素，主要包括并发连接数、吞吐量、时延、丢包率、背靠背缓冲、最大TCP连接建立速率等。1.并发连接数并发连接数（ConcurrentConnections）指的是内网和外网之间穿越防火墙能够同时建立的最大连接数量。这里的连接指的是网络会话，泛指IP层及IP层以上的通信信息流。并发连接数用于衡量防火墙对业务信息流的处理能力，具体表现为防火墙设备对多个网络连接的访问控制能力和连接状态跟踪能力。首先，并发连接数取决于防火墙设备内并发连接表的大小。所谓并发连接表，指的是防火墙用以保存并发连接信息的表结构，位于防火墙的系统内存。由于通过防火墙的连接要在并发连接表中保存相应记录，因此，防火墙能够支持的最大并发连接数受限于并发连接表的大小。并发连接表也不是越大越好，并发连接表越大意味着占用更多的内存资源。其次，并发连接数的增长需要充分考虑防火墙的CPU处理能力。防火墙CPU肩负着把一个网段的数据包尽快转发到另外一个网段的任务，在转发过程中CPU需要遵从设定的访问控制策略进行许可判断、流量统计以及审计记录等操作。如果随意提高防火墙的并发连接数，CPU的工作负荷将增大。如果CPU的处理能力跟不上并发连接数的增长，数据包到达防火墙后排队等待处理的时间将延长，可能使一些数据包超时重传。2.吞吐量按照IETFRFC1242中的描述，吞吐量（throughput）指的是在保证不丢失数据帧的情况下，防火墙设备能够达到的最大数据帧转发速率。防火墙的吞吐量通常以比特/秒或字节/秒表示。防火墙设备有固定的吞吐量测试流程。以一定的速率向待测的防火墙设备发送数据帧，如果发送给设备的数据帧与设备转发出去的数据帧数量相同，则提高发送速率重新进行测试；如果发送给设备的数据帧比设备转发出去的数据帧数量多，则适当降低发送速率重新测试。逐步调整数据帧的发送速率，直到得出最终结果。防火墙的吞吐量大小主要由防火墙网卡以及程序算法的效率决定。特别是程序算法，决定了防火墙如何判断数据是否符合安全策略。如果程序算法设计不合理，时间复杂度过高，将浪费大量计算资源，防火墙难以快速转发数据帧。3.时延防火墙的时延指的是数据包的第一个比特进入防火墙，到最后一个比特从防火墙输出的时间间隔。在实际应用中，时延主要源于防火墙对数据包进行排队、检测、日志、转发等动作所需的处理时间。防火墙的时延体现了防火墙的处理速度，时延短通常说明防火墙处理数据的速度快。防火墙时延测试的基本方法是计算数据包从防火墙的一个端口进入到其从相应端口输出的时间。防火墙时延测试必须在防火墙的吞吐量范围之内进行，如果发送速率超过了防火墙的吞吐量，防火墙出现大量丢包，表现很不稳定，测试结果将失去意义。4.丢包率按照IETFRFC1242中的定义，防火墙的丢包率（PacketLossRate）指在网络状态稳定的情况下，应当被转发但由于防火墙设备缺少资源而没有转发、被防火墙丢弃的数据包在全部发送数据包中所占的比率。丢包率体现了防火墙的稳定性和可靠性。5.背靠背缓冲背靠背缓冲是指防火墙接收到以最小数据帧间隔传输的数据帧时，在不丢弃数据的情况下，能够处理的最大数据帧数目。防火墙的这项参数体现了防火墙的缓冲容量。如果防火墙的处理能力相当高，那么背靠背缓冲的作用相对较小。因为当数据发送速度过快而防火墙来不及处理时，数据才需要进行缓存。如果防火墙本身具有很强的处理能力，能够迅速处理并转发数据包，防火墙甚至可以不需要进行数据缓冲。6.最大TCP连接建立速率防火墙的最大TCP连接建立速率指的是在所有TCP连接成功建立的前提下，防火墙能够达到的最大连接建立速率。这项指标由防火墙CPU的资源调度能力决定，体现了防火墙对连接请求的实时处理能力，最大TCP连接建立速率越大，防火墙性能越好，能够快速处理连接请求，并能够快速转发数据。7.应用识别及分析能力对应用网关防火墙而言，关键的性能指标不再是网络层吞吐量，而是应用识别及分析，主要体现在防火墙能够劫持网络应用的数量，应用识别和控制的粒度，以及应用特征库的更新速度。8.其他指标在防火墙的选择过程中，还需要考虑其他一些因素，主要包括：1)防火墙产品的功能。防火墙是采用无状态的包过滤技术，还是有状态的包过滤技术，或者是采用应用网关技术。防火墙的日志和报警功能是否齐备。2)防火墙产品的可管理性。防火墙的用户界面是否友好，防火墙功能配置和管理是否操作简单，这些都是选择防火墙时需要考虑的要素。同时，随着下一代防火墙提供的功能越来越多，可视化管理非常重要。3)防火墙产品本身的安全性能。防火墙要保护内部网络的安全，必须首先确保自身的安全性。选择防火墙要考虑防火墙采用的操作系统平台的安全性、防火墙的抗攻击能力、防火墙的冗余设置等等指标。防火墙技术的不足与发展趋势（一）防火墙的局限防火墙技术并不能解决所有网络安全问题，它在安全防护方面的局限主要表现为以下几点。1）防火墙的防护并不全面。一方面，攻击者可以采用伪造数据包的方法，生成防火墙过滤规则允许的攻击数据包，绕过防火墙的监控。另一方面，防火墙产品本身可能存在漏洞。再者，防火墙位于被保护网络的边界位置，如果内网中有用户实施攻击，防火墙无法察觉此类攻击行为。2）防火墙所发挥的安全防护作用在很大程度上取决于防火墙的配置是否正确、完善。防火墙只是一个被动的安全策略执行设备。如果防火墙体系结构不合理，或者安全规则与网络安全策略不匹配，防火墙将无法发挥防护作用。3）一些利用系统漏洞或者网络协议漏洞进行的攻击，防火墙难以防范，同时防火墙本身也可能存在安全漏洞。攻击者漏洞挖掘的能力不断提升，很多信息系统的厂商没有投入足够的精力提高产品的安全性，不少知名软硬件产品都被发现存在安全漏洞。4）防火墙不能防止病毒、木马等恶意代码的网络传输。防火墙本身不具备查杀病毒的功能，即使一些防火墙产品集成了第三方的防病毒软件，因处理能力的限制以及性能上的考虑，防火墙对恶意代码的查杀能力也非常有限。5）网络宽带化的进程加速，防火墙的处理能力难以与之适应。带宽的增长意味着防火墙需要检查的网络数据迅猛增加，防火墙的处理负担加重。大部分防火墙以高强度的检查作为安全防护的代价，检查强度越高，计算开销也就越大。防火墙的发展防火墙技术处于不断发展当中，防火墙产品目前主要朝着高性能、多功能、智能化、协作化、更安全的方向发展，一些新技术已应用于前面介绍的下一代应用网关防火墙中。1）高性能。高性能防火墙是未来的发展趋势，特别