防火墙功能指标详解

产品类型：从防火墙产品和技术发展来看，分为三种类型：基于路由器的包过滤防火墙、基于通用操作系统的防火墙、基于专用安全操作系统的防火墙。
 
　　LAN接口：列出支持的LAN接口类型：防火墙所能保护的网络类型，如以太网、快速以太网、千兆以太网、ATM、令牌环及FDDI等。 

　　支持的最大LAN接口数：指防火墙所支持的局域网络接口数目，也是其能够保护的不同内网数目。
 
　　服务器平台：防火墙所运行的操作系统平台（如Linux、UNIX、Win NT、专用安全操作系统等）。
 
　　协议支持：支持的非IP协议：除支持IP协议之外，又支持AppleTalk、DECnet、IPX及NETBEUI等协议。

　　建立VPN通道的协议： 构建VPN通道所使用的协议，如密钥分配等，主要分为IPSec，PPTP、专用协议等。

　　可以在VPN中使用的协议：在VPN中使用的协议，一般是指TCP/IP协议。

　　加密支持：支持的VPN加密标准：VPN中支持的加密算法, 例如数据加密标准DES、3DES、RC4以及国内专用的加密算法。

　　除了VPN之外，加密的其他用途：加密除用于保护传输数据以外，还应用于其他领域，如身份认证、报文完整性认证，密钥分配等。

　　提供基于硬件的加密：是否提供硬件加密方法，硬件加密可以提供更快的加密速度和更高的加密强度。 

　　认证支持：支持的认证类型： 是指防火墙支持的身份认证协议，一般情况下具有一个或多个认证方案，如RADIUS、Kerberos、TACACS/TACACS＋、口令方式、数字证书等。防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问，防火墙管理员必须决定客户以何种方式通过认证。
 
　　列出支持的认证标准和CA互操作性：厂商可以选择自己的认证方案，但应符合相应的国际标准，该项指所支持的标准认证协议，以及实现的认证协议是否与其他CA产品兼容互通。

　　支持数字证书：是否支持数字证书。
 
　　访问控制 ：通过防火墙的包内容设置：包过滤防火墙的过滤规则集由若干条规则组成，它应涵盖对所有出入防火墙的数据包的处理方法，对于没有明确定义的数据包，应该有一个缺省处理方法；过滤规则应易于理解，易于编辑修改；同时应具备一致性检测机制，防止冲突。IP包过滤的依据主要是根据IP包头部信息如源地址和目的地址进行过滤，如果IP头中的协议字段表明封装协议为ICMP、TCP或UDP，那么再根据ICMP头信息（类型和代码值）、TCP头信息（源端口和目的端口）或UDP头信息（源端口和目的端口）执行过滤，其他的还有MAC地址过滤。应用层协议过滤要求主要包括FTP过滤、基于RPC的应用服务过滤、基于UDP的应用服务过滤要求以及动态包过滤技术等。