網絡技術是從1990年代中期發展起來的新技術，它把互聯網上分散的資源融為有機整體，實現資源的全面共享和有機協作，使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享，網絡則被認為是互聯網發展的第三階段。

防火墻安全及效能分析

    網絡防火墻早已是一般企業用來保護企業網絡安全的主要機制。然而，企業網絡的整體安全涉及的層面相當廣，防火墻不僅無法解決所有的安全問題，防火墻所使用的控制技術、自身的安全保護能力、網絡結構、安全策略等因素都會影響企業網絡的安全性。

　　在眾多影響防火墻安全性能的因素中，有些是管理人員可以控制的，但是有些卻是在選擇了防火墻之后便無法改變的特性，其中一個很關鍵的就是防火墻所使用的存取控制技術。目前防火墻的控制技術大概可分為：封包過濾型(Packet Filter)、封包檢驗型(Stateful Inspection Packet Filter)以及應用層閘通道型(Application Gateway）。這三種技術分別在安全性或效能上有其特點，不過一般人往往只注意防火墻的效能而忽略了安全性與效率之間的沖突。本文針對防火墻這三種技術進行說明，并比較各種方式的特色以及可能帶來的安全風險或效能損失。

　　封包過濾型：封包過濾型的控制方式會檢查所有進出防火墻的封包標頭內容，如對來源及目地IP、使用協定、TCP或UDP的Port 等信息進行控制管理。現在的路由器、Switch Router以及某些操作系統已經具有用Packet Filter控制的能力。封包過濾型控制方式最大的好處是效率高，但卻有幾個嚴重缺點：管理復雜，無法對連線作完全的控制，規則設置的先后順序會嚴重影響結果，不易維護以及記錄功能少。

　　封包檢驗型：封包檢驗型的控制機制是通過一個檢驗模組對封包中的各個層次做檢驗。封包檢驗型可謂是封包過濾型的加強版，目的是增加封包過濾型的安全性，增加控制“連線”的能力。但由于封包檢驗的主要檢查對象仍是個別的封包，不同的封包檢驗方式可能會產生極大的差異。其檢查的層面越廣將會越安全，但其相對效能也越低。

　　封包檢驗型防火墻在檢查不完全的情況下，可能會造成問題。去年被公布的有關Firewall-1的Fast Mode TCP Fragment的安全弱點就是其中一例。這個為了增加效能的設計反而成了安全弱點。

　　應用層閘通道型：應用層閘通道型的防火墻采用將連線動作攔截，由一個特殊的代理程序來處理兩端間的連線的方式，并分析其連線內容是否符合應用協定的標準。這種方式的控制機制可以從頭到尾有效地控制整個連線的動作，而不會被client端或server端欺騙，在管理上也不會像封包過濾型那么復雜。但必須針對每一種應用寫一個專屬的代理程序，或用一個一般用途的代理程序來處理大部分連線。這種運作方式是最安全的方式，但也是效能最低的一種方式。

　　防火墻是為保護安全性而設計的，安全應是其主要考慮。因此，與其一味地要求效能，不如去思考如何在不影響效能的情況下提供最大的安全保護。

　　上述三種運作方式雖然在效能上有所區別，但我們在評估效能的同時，必須考慮這種效能的差異是否會對實際運作造成影響。事實上，對大部份仍在使用T1以下或未來的xDSL等數Mbps的“寬帶”網而言，即便是使用Application Gateway也不會真正影響網絡的使用效能。在這種應用環境下，防火墻的效能不應該是考慮的重點。但是，當防火墻是架在企業網絡的不同部門之間時，企業就必須考慮這種效能上的犧牲是否可以接受。

網絡的神奇作用吸引著越來越多的用戶加入其中，正因如此，網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......，各項技術都需要適時應勢，對應發展，這正是網絡迅速走向進步的催化劑。