在捍衛網絡安全的過程中,防火牆受到人們越來越多的青睐。作為一種提供信息安全服務、實現網絡和信息安全的基礎設施,防火牆采用將內部網和公眾網如Internet分開的方法,可以作為不同網絡或網絡安全域之間信息的出入口,根據企業的安全策略控制出入網絡的信息流。再加上防火牆本身具有較強的抗攻擊能力,能有效地監控內部網和Internet之間的任何活動,從而為內部網絡的安全提供了有力的保證。
但是,防火牆在為內部網絡帶來安全的同時,也產生了一定的反作用——它降低了網絡運行效率。作為防火牆應用的主要安全技術,在傳統防火牆的設計中,包過濾只是與規則表進行匹配,對符合規則的數據包進行處理,不符合規則的就丟棄。由於是基於規則的檢查,同屬於同一連接的不同包毫無任何聯系,每個包都要依據規則順序過濾。由於網絡安全涉及領域很多,技術復雜,安全規則往往要達到數百甚至上千種。隨著安全規則的增加,很多防火牆產品都會出現性能大幅度降低,網絡資源衰竭等問題,從而造成網絡擁塞。所以,安全與效率的兩難選擇成為傳統防火牆面臨的最大問題。此外,在這種設計中,黑客可能會采用IP Spoofing的辦法將自己的非法包偽裝成屬於某個合法的連接,進而侵入用戶的內部網絡系統。因此,傳統的包過濾技術既缺乏效率又容易產生安全漏洞。
今天,技術的發展已使得網絡逐漸融入人們的生活。人們在享受網絡帶來的方便的同時,不僅要求其具有較高的安全系數,同時對其數據傳輸速度提出了更高的要求。適應這一需求,防火牆產品必須在提高安全性能的同時,解決傳輸速率瓶頸,實現安全、效率上的雙方突破。為達到這一目標,基於連接的包過濾技術應運而生。日前,東方龍馬公司推出了具有自主核心技術的防火牆新品,該產品就利用這一技術,將屬於同一連接的所有包作為一個整體的數據流看待,通過規則表與連接狀態表的共同配合,大大的提高了系統的傳輸效率和安全性,從而較好的解決了防火牆固有的安全與效率的矛盾問題。
與傳統包過濾的無連接檢測技術不同,基於連接狀態的包過濾在進行包的檢查時,不僅將其看成是獨立的單元,同時還要考慮它的歷史關聯性。例如,在基於TCP協議的連接中,每個包在傳輸時都包括了IP源地址、IP目的地址、協議的源接口和目的接口等信息,還包括了對在允許的時間間隔內是否發生了TCP握手消息的監視信息等。這些信息與每個數據包都是有關聯的。換句話說,對於屬於同一個連接的數據包來說並不是孤立的,它們存在內部的關聯信息。無連接的包過濾規則由於忽略了這些內在的關聯信息,對每個數據包都進行孤立的規則檢測,所以大大降低了傳輸效率。