防火墙并发连接数

　　并发连接数是衡量防火墙性能的一个重要指标，但是想知道并发连接数的概念必须要先明白另一个概念——会话。在网络应用中，会话就是点对点的连接。并发连接数是指防火墙对其业务信息流的处理能力，是防火墙能够同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。

　　在防火墙中有一张和路由表相似的表，叫并发连接表，它可在防火墙系统启动后动态或静态分配进程的内存空间，其大小也就是防火墙所能支持的最大并发连接数。

　　URPF技术

　　URPF（Unicast Reverse Path Forwarding，单播反向路径转发）是一种单播逆向路由查找技术，它的主要功能是用于防止基于源地址欺骗的网络攻击行为，例如基于源地址欺骗的DoS攻击和DDoS攻击。

　　一般情况下，路由器接收到包后，获取包的目的地址，针对目的地址查找路由Pair(Dst-IP,NextHop)，如果找到了就转发包，否则丢弃该包。URPF通过获取包的源地址和入接口，以源地址为目的地址，在转发表中查找源地址路由对应的出接口是否与入接口匹配，如果不匹配，认为源地址是伪装的，丢弃该包。

　　URPF有三种方式：Strict URPF、Loose URPF和iACL URPF(Infrastructure ACL)。它们各自的适用环境：

　　1.在接入路由器上实施时，对于通过单链路接入的情况，一般使用Strict URPF；

　　2.在出口路由器配置URPF的安全策略时，一般采用Loose URPF；

　　3.对于通过ECMP接入到网络，一般可采用iACL URPF和Loose URPF。

　　Strict、Loose和Infrastructure ACL URPF的区别在于：

　　Loose:只要RIB中有该SrcAddr，不管是从哪个接口学到都可以。

　　Strict：不仅要查SrcAddr，而且还要看是否来自从该接口学到的源地址。

　　iACL：主要通过ACL来实现URPF的功能。

　　虽然通过访问控制列表也能达到URPF的类似效果，但是相比访问控制列表，URPF具有很多优点，例如：耗费CPU资源少、可以适应路由表的动态变化（因为CEF表会跟随路由表的动态变化而更新），所以维护量更少，对路由器的性能影响较小。

　　但是路由器通过判断出口流量的源地址，如果不属于内部子网的则给予阻断。而攻击者完全可以伪造其所在子网的IP地址进行DDoS攻击，这样就完全可以绕过URPF防护策略（攻击者伪造的报文的源地址是可以通过路由表查到的）。

　　除此之外，如果希望URPF策略能够真正地发挥作用，还需要在每个潜在攻击源的前端路由器上配置URPF，但是要实现这种情况，现实中几乎不可能做到。

　　Wireshark网络封包分析软件

　　网络协议解析是通过程序分析网络数据封包的协议头及其负载，从而了解数据封包在产生和传输过程中的行为。

　　Wireshark（前称Ethereal）是一个免费开源的网络协议解析软件，其功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。它能够在网卡接口处捕捉数据包，并实时显示包的详细协议信息；还能有选择性地捕捉显示数据包，还可以显示多种统计分析结果。

　　交换设备的端口镜像

　　SPAN技术主要是用来监控交换机上的数据流，大体分为两种类型：本地SPAN和远程SPAN。利用SPAN技术，我们可以把交换机上某些想要被监控端口的数据流镜像到连接在监控端口上的流量分析仪。所以它常被用来进行网络流量的数据分析以及网络故障分析。

　　SPAN数据流主要分为三类：

　　1.输入数据流(IngressSPAN)：指被源端口接收进来，其数据副本发送至监控端口的数据流；

　　2.输出数据流(EgressSPAN)：指从源端口发送出去，其数据副本发送至监控端口的数据流；

　　3.双向数据流(BothSPAN)：即为以上两种的综合。

　　基于VLAN的SPAN是以一个或几个VLAN作为监控对象，其中，所有端口均为源端口，与基于端口的SPAN类似，基于VLAN的SPAN也分为输入数据流、输出数据流和双向数据流监控三种类型。