5.2下午

所谓防火墙指的是一个由 软件和 硬件设备组合而成、在 内部网和 外部网 之 间、 专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的 结合，使 Internet与 Intranet之间创建起一个 安全网关（Security Gateway），从而保护内部网免受非法用 户的侵入，防火墙主要由服务访问规则、验证工具、 包过滤和 应用网关4个 部分组成，防火墙就是一个位于 计算机和它所链接的 网络之间的 软件或 硬件。该计算机流入流出的全部 网络通讯和 数据包均要通过此防火墙。

在网络中，所谓“ 防火墙”，是指一种将 内部网和公众访问网（如Internet）分开的方法，它其实是一种 隔离技术。防火墙是在两个网络通信时执行的一种 访问控制尺度，它能容许你“赞成”的人和数据进入你的网络，同时将你“不一样意”的人和数据拒之门外，最大限度地阻止网络中的 黑客来访问你的网络。换句话说，若是不经过防火墙，公司内部的人就没法访问Internet，Internet上的人也没法和公司内部的人进行通讯。

1. 什么是防火墙
   　　XP系统相比于以往的Windows系统新增了许多的网络功能（Windows 7的防火墙同样很强大，能够很方便地定义过滤掉数据包），例如Internet链接防火墙（ICF），它就是用一段"代码墙"把电脑和Internet分隔开，时刻检查出入防火墙的全部数据包，决定拦截或是放行那些数据包。防火墙能够是一种硬件、固件或者软件，例如专用防火墙设备就是硬件形式的防火墙，包过滤路由器是嵌有防火墙固件的路由器，而代理服务器等软件就是软件形式的防火墙。
2. ICF工做原理
   　　ICF被视为状态防火墙，状态防火墙可监视经过其路径的全部通信，而且检查所处理的每一个消息的源和目标地址。为了防止来自链接公用端的未经请求的通讯进入专用端，ICF保留了全部源自ICF计算机的通信表。在单独的计算机中，ICF将跟踪源自该计算机的通讯。与ICS一块儿使用时，ICF将跟踪全部源自ICF/ICS计算机的通讯和全部源自专用网络计算机的通讯。全部Internet传入通讯都会针对于该表中的各项进行比较。只有当表中有匹配项时（这说明通信交换是从计算机或专用网络内部开始的），才容许将传入Internet通讯传送给网络中的计算机。
   　　源自外部源ICF计算机的通信（如Internet）将被防火墙阻止，除非在“服务”选项卡上设置容许该通信经过。ICF不会向你发送活动通知，而是静态地阻止未经请求的通信，防止像端口扫描这样的常见黑客袭击。
3. 防火墙的种类
   防火墙从诞生开始，已经历了四个发展阶段：基于 路由器的防火墙、用户化的防火墙工具套、创建在通用操做系统上的防火墙、具备安全操做系统的防火墙。常见的防火墙属于具备安全操做系统的防火墙，例如NETEYE、NETSCREEN、TALENTIT等。

从结构上来分，防火墙有两种：即代理主机结构和路由器+过滤器结构，后一种结构以下所示：内部网络过滤器（Filter）路由器（Router）Internet

从原理上来分，防火墙则能够分红4种类型：特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。安全性能高的防火墙系统都是组合运用多种类型防火墙，构筑多道防火墙“防护工事”。[1]  

吞吐量

网络中的数据是由一个个 数据包组成，防火墙对每一个数据包的处理要耗费资源。 吞吐量是指在没有帧丢失的状况下，设备可以接受的最大速率。其测试方法是：在测试中以必定速率发送必定数量的 帧，并计算待测设备传输的帧，若是发送的帧与接收的帧数量 相等，那么就将发送速率提升并从新测试；若是接收帧少于发送帧则下降发送速率从新测试，直至得出最终结果。 吞吐量测试结果以比特/秒或字节/秒表示。

吞吐量和报文转发率是关系防火墙应用的主要指标，通常采用 FDT（Full Duplex Throughput）来衡量，指64字节数据包的全双工吞吐量，该指标既包括吞吐量指标也涵盖了报文转发率指标