思科防火墙产品-华思特(在线咨询)-深圳防火墙产品

防火墙性能介绍－防火墙性能的五大指标

1、 吞吐量：很重要。该指标直接影响网络的性能，吞吐量

2、 时延：很重要。入口处输入帧后1个比特到达至出口处输出帧的第1个比特输出所用的时间间隔

3、 丢包率：在稳态负载下，应由网络设备传输，但由于资源投入而被丢弃的帧的百分比。现在性能发展了，这种情况已经较少了。

4、 背靠背：从空闲状态开始，以达到传输介质合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现个帧丢失时，发送的帧数现在性能发展了，这种情况已经较少了。

5、 并发连接数：很重要。并发连接数是指穿越防火墙的主机之间或主机防火墙之间能同时建立的连接数

6、 每秒新建连接数：很重要。1秒之内能够新建的连接数量，体现了防火墙的反应能力或者说是灵敏度。

吞吐量

1、 定义：在不丢包的情况下能够达到的速率

2、 衡量标准：吞吐量越大，防火墙的性能越高

网络防火墙和病毒防火墙的差别

防火墙(Firewall)一词，在网络术语中是指一种软件，防火墙产品选型，它可以在用户计算机和Internet之间建立起一道屏障(Wall)，把用户和网络隔离开来；用户可以通过设定规则(rule)来决定哪些情况下防火墙应该隔断或允许计算机与互联网间的数据传输。通过这样的方式，防火墙承受住所有对用户的网络攻击，从而保障用户的网络安全。

还有一种是”病毒防火墙”，这是与网络防火墙不同范畴的软件。但因为有着”防火墙”的名义，所以用户通常把这两种产品搞混淆；甚至有用户问到类似“我已经安装了病毒防火墙，还需不需要安装网络防火墙”之类的问题，在此简单阐述下两种产品的差异。

病毒防火墙

所谓的“病毒防火墙”其实和网络防火墙不是一个范畴的东西，确切的说，它应该被称为“病毒实时检测和清除系统”，是反病毒软件的工作模式之一。当它运行的时候会把病毒特征的监控程序驻留在内存中，随时查看系统运行中是否有病毒迹象；一旦发现有携带病毒的文件，就会马上杀毒处理模块，禁止带毒文件的运行或打开，再进行查杀，以此监控用户系统不被病毒。

其实这种病毒实时也出现了很久远的历史了，早在DOS时代，Norton 和微软就已经出过类似的产品，不过它们都不称为“Firewall”。在Norton中这被称为“Virus Auto-Protect”就是病毒自动监控保护的意思。所以实际上，病毒防火墙不是说对网络应用的病毒进行监控，而是对所有的系统应用软件进行监控，由此来保障用户系统的“***”环境。

网络防火墙

过去，攻击者所面临的主要问题是网络带宽，由于较小的网络规模和较慢的网络速度的限制，攻击者无法发出过多的请求。虽然类似“Ping of Death”的攻击类型只需要较少量的包就可以摧毁一个没有打过补丁的操作系统，但大多数的DoS攻击还是需要相当大的带宽，而以个人为单位的黑hei客们很难消耗高带宽的资源。为了克服这个缺点，DoS攻击者开发了分布式的攻击。

木马成为黑hei客控制傀kui儡的工具，思科防火墙产品，越来越多的计算机变成了肉鸡，被黑hei客所利用，并变成了他们的攻击工具。黑hei客们利用简单的工具集合许多的肉鸡来同时对同一个目标发动大量的攻击请求，这就是DiDoS(Distributed Denial of Service)攻击。随着互联网的蓬勃发展，越来越多的计算机不知不觉的被利用变成肉鸡，攻击逐渐变成一种产业。

提起DiDoS攻击，大家首先想到的一定是SYN Flood攻击，

开始的SYN Flood攻击类似于协议栈攻击，在当年的攻击类型中属于技术含量很高的“高大上”。当年由于系统的限制以及硬件资源性能的低下，称霸DiDoS攻击领域很久。它与别人的不同在于，你很难通过单个报文的特征或者简单的统计限流防御住它，因为它“太真实”、“太常用”。

SYN Flood具有强大的变异能力，在攻击发展潮流中一直没有被湮没，这完全是他自身的***所决定的：
1、单个报文看起来很“真实”，没有畸形。
2、攻击成本低，很小的开销就可以发动庞大的攻击。
2014年春节期间，某IDC的OSS系统分别于大年初二、初六、初七连续遭受三轮攻击，******长的一次攻击时间持续将近三个小时，深圳防火墙产品，攻击流量峰值接近160Gbit/s！事后，通过对目标和攻击类型分析，基本可以判断是有一个黑hei客***发起针对同一目标的攻击时间。经过对捕获的攻击数据包分析，发现黑hei客攻击手段主要采用SYN Flood。

2013年，某安全运营报告显示，DiDoS攻击呈现逐年上升趋势，其中SYN Flood攻击的发生频率在2013全年攻击统计中占31%。

可见，时至今日，SYN Flood还是如此的猖獗。下面我们一起看一下它的攻击原理。

TCP三次握手SYN flood是基于TCP协议栈发起的攻击，在了解SYN flood攻击和防御原理之前，还是要从TCP连接建立的过程开始说起。在TCP/IP协议中，TCP协议提供可靠的连接服务，无论是哪一个方向另一方发送数据前，都必须先在双方之间建立一条连接通道，这就是传说中的TCP三次握手。

1、第di一次握手：客户端向服务器端发送一个SYN（Synchronize）报文，指明想要建立连接的服务器端口，以及序列号ISN。
2、第二次握手：服务器在收到客户端的SYN报文后，将返回一个SYN ACK的报文，表示客户端的请求被接受，同时在SYN ACK报文中将确认号设置为客户端的ISN号加1。 ACK即表示确认（Acknowledgment）。
3、第三次握手：客户端收到服务器的SYN-ACK包，向服务器发送ACK报文进行确认，ACK报文发送完毕，企业防火墙产品，
三次握手建立成功。如果客户端在发送了SYN报文后出现了故障，那么服务器在发出SYN ACK应答报文后是无法收到客户端的ACK报文的，即第三次握手无法完成，这种情况下服务器端一般会重试，向客户端再次发送SYN ACK，并等待一段时间。如果一定时间内，还是得不到客户端的回应，则放弃这个未完成的连接。这也是TCP的重传机制。

SYN Flood攻击正是利用了TCP三次握手的这种机制。攻击者向服务器发送大量的SYN报文请求，当服务器回应SYN ACK报文时，不再继续回应ACK报文，导致服务器上建立大量的半连接，直至老化。这样，服务器的资源会被这些半连接耗尽，导致正常的请求无法回应。

防火墙针对SYN Flood攻击，一般会采用TCP代理和源探测两种方式进行防御。

思科防火墙产品-华思特(在线咨询)-深圳防火墙产品由深圳市华思特科技有限公司提供。“机房建设,综合布线,智能安防,视频监控,网络集成等”就选深圳市华思特科技有限公司（www.fastchina.net），公司位于：深圳市光明区马田街道马山头社区南环大道电连科技大厦D栋911，多年来，华思特坚持为客户提供好的服务，联系人：赖小姐。欢迎广大新老客户来电，来函，亲临指导，洽谈业务。华思特期待成为您的长期合作伙伴！同时本公司（www.hst333.com）还是从事深圳华为交换机，广州华为交换机，东莞华为交换机的厂家，欢迎来电咨询。