網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來(lái)的新技術(shù)，它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體，實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作，使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計(jì)算機(jī)、存儲(chǔ)資源、數(shù)據(jù)資源、信息資源、知識(shí)資源、專(zhuān)家資源、大型數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享，網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。

防火墻安全及效能分析

    網(wǎng)絡(luò)防火墻早已是一般企業(yè)用來(lái)保護(hù)企業(yè)網(wǎng)絡(luò)安全的主要機(jī)制。然而，企業(yè)網(wǎng)絡(luò)的整體安全涉及的層面相當(dāng)廣，防火墻不僅無(wú)法解決所有的安全問(wèn)題，防火墻所使用的控制技術(shù)、自身的安全保護(hù)能力、網(wǎng)絡(luò)結(jié)構(gòu)、安全策略等因素都會(huì)影響企業(yè)網(wǎng)絡(luò)的安全性。

　　在眾多影響防火墻安全性能的因素中，有些是管理人員可以控制的，但是有些卻是在選擇了防火墻之后便無(wú)法改變的特性，其中一個(gè)很關(guān)鍵的就是防火墻所使用的存取控制技術(shù)。目前防火墻的控制技術(shù)大概可分為：封包過(guò)濾型(Packet Filter)、封包檢驗(yàn)型(Stateful Inspection Packet Filter)以及應(yīng)用層閘通道型(Application Gateway）。這三種技術(shù)分別在安全性或效能上有其特點(diǎn)，不過(guò)一般人往往只注意防火墻的效能而忽略了安全性與效率之間的沖突。本文針對(duì)防火墻這三種技術(shù)進(jìn)行說(shuō)明，并比較各種方式的特色以及可能帶來(lái)的安全風(fēng)險(xiǎn)或效能損失。

　　封包過(guò)濾型：封包過(guò)濾型的控制方式會(huì)檢查所有進(jìn)出防火墻的封包標(biāo)頭內(nèi)容，如對(duì)來(lái)源及目地IP、使用協(xié)定、TCP或UDP的Port 等信息進(jìn)行控制管理�，F(xiàn)在的路由器、Switch Router以及某些操作系統(tǒng)已經(jīng)具有用Packet Filter控制的能力。封包過(guò)濾型控制方式最大的好處是效率高，但卻有幾個(gè)嚴(yán)重缺點(diǎn)：管理復(fù)雜，無(wú)法對(duì)連線(xiàn)作完全的控制，規(guī)則設(shè)置的先后順序會(huì)嚴(yán)重影響結(jié)果，不易維護(hù)以及記錄功能少。

　　封包檢驗(yàn)型：封包檢驗(yàn)型的控制機(jī)制是通過(guò)一個(gè)檢驗(yàn)?zāi)＝M對(duì)封包中的各個(gè)層次做檢驗(yàn)。封包檢驗(yàn)型可謂是封包過(guò)濾型的加強(qiáng)版，目的是增加封包過(guò)濾型的安全性，增加控制“連線(xiàn)”的能力。但由于封包檢驗(yàn)的主要檢查對(duì)象仍是個(gè)別的封包，不同的封包檢驗(yàn)方式可能會(huì)產(chǎn)生極大的差異。其檢查的層面越廣將會(huì)越安全，但其相對(duì)效能也越低。

　　封包檢驗(yàn)型防火墻在檢查不完全的情況下，可能會(huì)造成問(wèn)題。去年被公布的有關(guān)Firewall-1的Fast Mode TCP Fragment的安全弱點(diǎn)就是其中一例。這個(gè)為了增加效能的設(shè)計(jì)反而成了安全弱點(diǎn)。

　　應(yīng)用層閘通道型：應(yīng)用層閘通道型的防火墻采用將連線(xiàn)動(dòng)作攔截，由一個(gè)特殊的代理程序來(lái)處理兩端間的連線(xiàn)的方式，并分析其連線(xiàn)內(nèi)容是否符合應(yīng)用協(xié)定的標(biāo)準(zhǔn)。這種方式的控制機(jī)制可以從頭到尾有效地控制整個(gè)連線(xiàn)的動(dòng)作，而不會(huì)被client端或server端欺騙，在管理上也不會(huì)像封包過(guò)濾型那么復(fù)雜。但必須針對(duì)每一種應(yīng)用寫(xiě)一個(gè)專(zhuān)屬的代理程序，或用一個(gè)一般用途的代理程序來(lái)處理大部分連線(xiàn)。這種運(yùn)作方式是最安全的方式，但也是效能最低的一種方式。

　　防火墻是為保護(hù)安全性而設(shè)計(jì)的，安全應(yīng)是其主要考慮。因此，與其一味地要求效能，不如去思考如何在不影響效能的情況下提供最大的安全保護(hù)。

　　上述三種運(yùn)作方式雖然在效能上有所區(qū)別，但我們?cè)谠u(píng)估效能的同時(shí)，必須考慮這種效能的差異是否會(huì)對(duì)實(shí)際運(yùn)作造成影響。事實(shí)上，對(duì)大部份仍在使用T1以下或未來(lái)的xDSL等數(shù)Mbps的“寬帶”網(wǎng)而言，即便是使用Application Gateway也不會(huì)真正影響網(wǎng)絡(luò)的使用效能。在這種應(yīng)用環(huán)境下，防火墻的效能不應(yīng)該是考慮的重點(diǎn)。但是，當(dāng)防火墻是架在企業(yè)網(wǎng)絡(luò)的不同部門(mén)之間時(shí)，企業(yè)就必須考慮這種效能上的犧牲是否可以接受。

網(wǎng)絡(luò)的神奇作用吸引著越來(lái)越多的用戶(hù)加入其中，正因如此，網(wǎng)絡(luò)的承受能力也面臨著越來(lái)越嚴(yán)峻的考驗(yàn)―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......，各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì)，對(duì)應(yīng)發(fā)展，這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。