2022年防火墙的技术与应用-相关知识(16).docx

2022年防火墙的技术与应用-相关知识(16)防火墙平安及效能分析网络防火墙早已是一般企业用来爱护企业网络平安的主要机制。然而，企业网络的整体平安涉及的层面相当广，防火墙不仅无法解决全部的平安问题，防火墙所运用的限制技术、自身的平安爱护实力、网络结构、平安策略等因素都会影响企业网络的平安性。 在众多影响防火墙平安性能的因素中，有些是管理人员可以限制的，但是有些却是在选择了防火墙之后便无法变更的特性，其中一个很关键的就是防火墙所运用的存取限制技术。目前防火墙的限制技术也许可分为：封包过滤型(Packet Filter)、封包检验型(Stateful Inspection Packet Filter)以及应用层闸通道型(Application Gateway）。这三种技术分别在平安性或效能上有其特点，不过一般人往往只留意防火墙的效能而忽视了平安性与效率之间的冲突。本文针对防火墙这三种技术进行说明，并比较各种方式的特色以及可能带来的平安风险或效能损失。封包过滤型：封包过滤型的限制方式会检查全部进出防火墙的封包标头内容，如对来源及目地IP、运用协定、TCP或UDP的Port 等信息进行限制管理。现在的路由器、Switch Router以及某些操作系统已经具有用Packet Filter限制的实力。封包过滤型限制方式最大的好处是效率高，但却有几个严峻缺点：管理困难，无法对连线作完全的限制，规则设置的先后依次会严峻影响结果，不易维护以及记录功能少。封包检验型：封包检验型的限制机制是通过一个检验模组对封包中的各个层次做检验。封包检验型可谓是封包过滤型的加强版，目的是增加封包过滤型的平安性，增加限制“连线”的实力。但由于封包检验的主要检查对象仍是个别的封包，不同的封包检验方式可能会产生极大的差异。其检查的层面越广将会越平安，但其相对效能也越低。封包检验型防火墙在检查不完全的状况下，可能会造成问题。去年被公布的有关Firewall-1的Fast Mode TCP Fragment的平安弱点就是其中一例。这个为了增加效能的设计反而成了平安弱点。应用层闸通道型：应用层闸通道型的防火墙采纳将连线动作拦截，由一个特别的代理程序来处理两端间的连线的方式，并分析其连线内容是否符合应用协定的标准。这种方式的限制机制可以从头到尾有效地限制整个连线的动作，而不会被client端或server端欺瞒，在管理上也不会像封包过滤型那么困难。但必需针对每一种应用写一个专属的代理程序，或用一个一般用途的代理程序来处理大部分连线。这种运作方式是最平安的方式，但也是效能最低的一种方式。防火墙是为爱护平安性而设计的，平安应是其主要考虑。因此，与其一味地要求效能，不如去思索如何在不影响效能的状况下供应最大的平安爱护。上述三种运作方式虽然在效能上有所区分，但我们在评估效能的同时，必需考虑这种效能的差异是否会对实际运作造成影响。事实上，对大部份仍在运用T1以下或将来的xDSL等数Mbps的“宽带”网而言，即便是运用Application Gateway也不会真正影响网络的运用效能。在这种应用环境下，防火墙的效能不应当是考虑的重点。但是，当防火墙是架在企业网络的不同部门之间时，企业就必需考虑这种效能上的牺牲是否可以接受。