網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù)，它把互聯(lián)網(wǎng)上分散的資源融為有機整體，實現(xiàn)資源的全面共享和有機協(xié)作，使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數(shù)據(jù)資源、信息資源、知識資源、專家資源、大型數(shù)據(jù)庫、網(wǎng)絡(luò)、傳感器等。 當前的互聯(lián)網(wǎng)只限于信息共享，網(wǎng)絡(luò)則被認為是互聯(lián)網(wǎng)發(fā)展的第三階段。

防火墻安全及效能分析

    網(wǎng)絡(luò)防火墻早已是一般企業(yè)用來保護企業(yè)網(wǎng)絡(luò)安全的主要機制。然而，企業(yè)網(wǎng)絡(luò)的整體安全涉及的層面相當廣，防火墻不僅無法解決所有的安全問題，防火墻所使用的控制技術(shù)、自身的安全保護能力、網(wǎng)絡(luò)結(jié)構(gòu)、安全策略等因素都會影響企業(yè)網(wǎng)絡(luò)的安全性。

　　在眾多影響防火墻安全性能的因素中，有些是管理人員可以控制的，但是有些卻是在選擇了防火墻之后便無法改變的特性，其中一個很關(guān)鍵的就是防火墻所使用的存取控制技術(shù)。目前防火墻的控制技術(shù)大概可分為：封包過濾型(Packet Filter)、封包檢驗型(Stateful Inspection Packet Filter)以及應(yīng)用層閘通道型(Application Gateway）。這三種技術(shù)分別在安全性或效能上有其特點，不過一般人往往只注意防火墻的效能而忽略了安全性與效率之間的沖突。本文針對防火墻這三種技術(shù)進行說明，并比較各種方式的特色以及可能帶來的安全風險或效能損失。

　　封包過濾型：封包過濾型的控制方式會檢查所有進出防火墻的封包標頭內(nèi)容，如對來源及目地IP、使用協(xié)定、TCP或UDP的Port 等信息進行控制管理。現(xiàn)在的路由器、Switch Router以及某些操作系統(tǒng)已經(jīng)具有用Packet Filter控制的能力。封包過濾型控制方式最大的好處是效率高，但卻有幾個嚴重缺點：管理復雜，無法對連線作完全的控制，規(guī)則設(shè)置的先后順序會嚴重影響結(jié)果，不易維護以及記錄功能少。

　　封包檢驗型：封包檢驗型的控制機制是通過一個檢驗?zāi)＝M對封包中的各個層次做檢驗。封包檢驗型可謂是封包過濾型的加強版，目的是增加封包過濾型的安全性，增加控制“連線”的能力。但由于封包檢驗的主要檢查對象仍是個別的封包，不同的封包檢驗方式可能會產(chǎn)生極大的差異。其檢查的層面越廣將會越安全，但其相對效能也越低。

　　封包檢驗型防火墻在檢查不完全的情況下，可能會造成問題。去年被公布的有關(guān)Firewall-1的Fast Mode TCP Fragment的安全弱點就是其中一例。這個為了增加效能的設(shè)計反而成了安全弱點。

　　應(yīng)用層閘通道型：應(yīng)用層閘通道型的防火墻采用將連線動作攔截，由一個特殊的代理程序來處理兩端間的連線的方式，并分析其連線內(nèi)容是否符合應(yīng)用協(xié)定的標準。這種方式的控制機制可以從頭到尾有效地控制整個連線的動作，而不會被client端或server端欺騙，在管理上也不會像封包過濾型那么復雜。但必須針對每一種應(yīng)用寫一個專屬的代理程序，或用一個一般用途的代理程序來處理大部分連線。這種運作方式是最安全的方式，但也是效能最低的一種方式。

　　防火墻是為保護安全性而設(shè)計的，安全應(yīng)是其主要考慮。因此，與其一味地要求效能，不如去思考如何在不影響效能的情況下提供最大的安全保護。

　　上述三種運作方式雖然在效能上有所區(qū)別，但我們在評估效能的同時，必須考慮這種效能的差異是否會對實際運作造成影響。事實上，對大部份仍在使用T1以下或未來的xDSL等數(shù)Mbps的“寬帶”網(wǎng)而言，即便是使用Application Gateway也不會真正影響網(wǎng)絡(luò)的使用效能。在這種應(yīng)用環(huán)境下，防火墻的效能不應(yīng)該是考慮的重點。但是，當防火墻是架在企業(yè)網(wǎng)絡(luò)的不同部門之間時，企業(yè)就必須考慮這種效能上的犧牲是否可以接受。

網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中，正因如此，網(wǎng)絡(luò)的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......，各項技術(shù)都需要適時應(yīng)勢，對應(yīng)發(fā)展，這正是網(wǎng)絡(luò)迅速走向進步的催化劑。