网络攻防学习笔记 Day42

防火墙有多种部署方式，常见的有透明模式、网关模式和 NAT 模式等。

防火墙产品除了在处理器类型、内存容量、网络接口、存储容量等硬件参数方面存在差异，还有一些重要的评价指标常常用于衡量防火墙性能，是防火墙选购时的重要参考因素，这些因素主要包括并发连接数、吞吐量、时延、丢包率、背靠背缓冲、最大 TCP 连接建立速率等。

并发连接数（concurrent connections）指的是内网和外网之间穿越防火墙能够同时建立的最大连接数量。这里的连接指的是网络会话，泛指 IP 层及 IP 层以上的通信信息流。并发连接数用于衡量防火墙对业务信息流的处理能力，具体表现为防火墙设备对多个网络连接的访问控制能力和连接状态跟踪能力。

如果 CPU 的处理能力跟不上并发连接数的增长，那么数据包到达防火墙后排队等待处理的时间将延长，可能使一些数据包超时重传。在最坏的情况下，雪崩效应将出现。一方面，频繁有数据包超时重传，防火墙需处理的数据包越积越多，另一方面，防火墙没有足够的计算资源及时检查和转发数据包，最终导致整个防火墙系统瘫痪。

吞吐量（throughput）指的是在保证不丢失数据帧的情况下，防火墙设备能够达到的最大数据帧转发速率。防火墙的吞吐量通常以比特/秒或字节/秒表示。

防火墙的时延指的是数据包的第一个比特进入防火墙，到最后一个比特从防火墙输出的时间间隔。

防火墙的丢包率（packet loss rate）指在网络状态稳定的情况下，应当被转发但由于防火墙设备缺少资源而没有转发、被防火墙丢弃的数据包在全部发送数据包中所占的比率。

背靠背缓冲是指防火墙接收到以最小数据帧间隔传输的数据帧时，在不丢弃数据的情况下，能够处理的最大数据帧数目。防火墙的这项参数体现了防火墙的缓冲容量。

防火墙的最大 TCP 连接建立速率指的是在所有 TCP 连接成功建立的前提下，防火墙能够达到的最大连接建立速率。这项指标由防火墙 CPU 的资源调度能力决定，体现了防火墙对连接请求的实时处理能力，最大 TCP 连接建立速率越大，防火墙性能越好，能够快速处理连接请求，并能够快速转发数据。