下一代防火墙可收集防火墙外的各类信息,用于改进阻止决策,或作为优化阻止规则的基础。 传统防火墙具有数据包过滤、网络地址转换(NAT)、协议状态检查以及VPN功能等。 下一代防火墙提供深度包检测功能,通过检查网络数据包中携带的数据,超越简单的端口和协议检查。 下一代防火墙增加了应用级检查,入侵防御以及对威胁情报服务提供的数据采取行动的能力。 此外,下一代防火墙扩展了NAT,PAT和VPN支持的传统防火墙功能,以在防火墙充当路由器的路由模式下以及在防火墙充当线路颠簸的透明模式下运行 ,同时还可以扫描数据包,并且还集成了新的威胁管理技术。 防火墙硬件参数是指设备使用的处理类型或芯片及主频、内存容量、闪存容量、网络接口、存储容量类型等数据。
防火墙的用户数限制分为固定用户数限制和无用户数限制两种。
指每秒钟可以通过防火墙建立起来的完整TCP/UDP连接。该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度,如果该指标低会造成用户明显感觉上网速度慢,在用户量较大的情况下容易造成防火墙处理能力急剧下降,并且会造成防火墙对网络攻击防范能力差。
由于防火墙是针对连接进行处理报文的,并发连接数目是指的防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。
1. 并发连接数的增大意味着对系统内存资源的消耗增大 3. 物理链路的实际承载能力将严重影响防火墙发挥出其对海量并发连接的处理能力 策略数: 4000个策略数 网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据报数量。
防火墙吞吐量: 12Gbit/s IPSec吞吐量: 9Gbit/s 虚拟防火墙: 200
支持入侵防御(IPS) 支持防病毒(AV) 支持数据防泄漏(DLP) 支持上网行为管理/审计 支持基于应用的QoS优化 支持服务器负载均衡 支持智能策略管理
|