解決防火牆效率與安全之間的矛盾

　　在捍衛網絡安全的過程中，防火牆受到人們越來越多的青睐。作為一種提供信息安全服務、實現網絡和信息安全的基礎設施，防火牆采用將內部網和公眾網如Internet分開的方法，可以作為不同網絡或網絡安全域之間信息的出入口，根據企業的安全策略控制出入網絡的信息流。再加上防火牆本身具有較強的抗攻擊能力，能有效地監控內部網和Internet之間的任何活動，從而為內部網絡的安全提供了有力的保證。

　　但是，防火牆在為內部網絡帶來安全的同時，也產生了一定的反作用——它降低了網絡運行效率。作為防火牆應用的主要安全技術，在傳統防火牆的設計中，包過濾只是與規則表進行匹配，對符合規則的數據包進行處理，不符合規則的就丟棄。由於是基於規則的檢查，同屬於同一連接的不同包毫無任何聯系，每個包都要依據規則順序過濾。由於網絡安全涉及領域很多，技術復雜，安全規則往往要達到數百甚至上千種。隨著安全規則的增加，很多防火牆產品都會出現性能大幅度降低，網絡資源衰竭等問題，從而造成網絡擁塞。所以，安全與效率的兩難選擇成為傳統防火牆面臨的最大問題。此外，在這種設計中，黑客可能會采用IP Spoofing的辦法將自己的非法包偽裝成屬於某個合法的連接，進而侵入用戶的內部網絡系統。因此，傳統的包過濾技術既缺乏效率又容易產生安全漏洞。

　　今天，技術的發展已使得網絡逐漸融入人們的生活。人們在享受網絡帶來的方便的同時，不僅要求其具有較高的安全系數，同時對其數據傳輸速度提出了更高的要求。適應這一需求，防火牆產品必須在提高安全性能的同時，解決傳輸速率瓶頸，實現安全、效率上的雙方突破。為達到這一目標，基於連接的包過濾技術應運而生。日前，東方龍馬公司推出了具有自主核心技術的防火牆新品，該產品就利用這一技術，將屬於同一連接的所有包作為一個整體的數據流看待，通過規則表與連接狀態表的共同配合，大大的提高了系統的傳輸效率和安全性，從而較好的解決了防火牆固有的安全與效率的矛盾問題。

　　與傳統包過濾的無連接檢測技術不同，基於連接狀態的包過濾在進行包的檢查時，不僅將其看成是獨立的單元，同時還要考慮它的歷史關聯性。例如，在基於TCP協議的連接中，每個包在傳輸時都包括了IP源地址、IP目的地址、協議的源接口和目的接口等信息，還包括了對在允許的時間間隔內是否發生了TCP握手消息的監視信息等。這些信息與每個數據包都是有關聯的。換句話說，對於屬於同一個連接的數據包來說並不是孤立的，它們存在內部的關聯信息。無連接的包過濾規則由於忽略了這些內在的關聯信息，對每個數據包都進行孤立的規則檢測，所以大大降低了傳輸效率。