如何解决防火墙效率与安全之间的矛盾 .docxVIP

【Word版本下载可任意编辑】 PAGE 1 - / NUMPAGES 1 如何解决防火墙效率与安全之间的矛盾 在捍卫网络安全的过程中，防火墙受到人们越来越多的青睐。作为一种提供信息安全服务、实现网络和信息安全的根底设施，防火墙采用将内部网和公众网如Internet分开的方法，可以作为不同网络或网络安全域之间信息的出入口，根据企业的安全策略控制出入网络的信息流。再加上防火墙本身具有较强的抗攻击能力，能有效地监控内部网和Internet之间的任何活动，从而为内部网络的安全提供了有力的保证。 但是，防火墙在为内部网络带来安全的同时，也产生了一定的反作用——它降低了网络运行效率。作为防火墙应用的主要安全技术，在传统防火墙的设计中，包过滤只是与规则表开展匹配，对符合规则的数据包开展处理，不符合规则的就丢弃。由于是基于规则的检查，同属于同一连接的不同包毫无任何联系，每个包都要依据规则顺序过滤。由于网络安全涉及领域很多，技术复杂，安全规则往往要到达数百甚至上千种。随着安全规则的增加，很多防火墙产品都会出现性能大幅度降低，网络资源衰竭等问题，从而造成网络拥塞。所以，安全与效率的两难选择成为传统防火墙面临的最大问题。此外，在这种设计中，黑客可能会采用IPSpoofing的方法将自己的非法包伪装成属于某个合法的连接，进而侵入用户的内部网络系统。因此，传统的包过滤技术既缺乏效率又容易产生安全漏洞。 今天，技术的发展已使得网络逐渐融入人们的生活。人们在享受网络带来的方便的同时，不仅要求其具有较高的安全系数，同时对其数据传输速度提出了更高的要求。适应这一需求，防火墙产品必须在提***全性能的同时，解决传输速率瓶颈，实现安全、效率上的双方突破。为到达这一目标，基于连接的包过滤技术应运而生。日前，***龙马公司推出了具有自主核心技术的防火墙新品，该产品就利用这一技术，将属于同一连接的所有包作为一个整体的数据流看待，通过规则表与连接状态表的共同配合，大大的提高了系统的传输效率和安全性，从而较好的解决了防火墙固有的安全与效率的矛盾问题。 与传统包过滤的无连接检测技术不同，基于连接状态的包过滤在开展包的检查时，不仅将其看成是独立的单元，同时还要考虑它的历史关联性。例如，在基于TCP协议的连接中，每个包在传输时都包括了IP源地址、IP目的地址、协议的源接口和目的接口等信息，还包括了对在允许的时间间隔内是否发生了TCP握手消息的监视信息等。这些信息与每个数据包都是有关联的。换句话说，对于属于同一个连接的数据包来说并不是孤立的，它们存在内部的关联信息。无连接的包过滤规则由于忽略了这些内在的关联信息，对每个数据包都开展孤立的规则检测，所以大大降低了传输效率。 由于采用了基于连接的包过滤处理方法，***龙马防火墙在开展规则检查的同时，可以将包的连接状态记录下来，该连接以后的包则无需再通过规则检查，而只需通过状态表里对该包所属的连接的记录来检查即可。如果有相应的状态标识，则说明该包属于已经建立的合法连接，可以承受。检查通过后该连接状态的记录将被刷新。这样就使具有一样连接状态的包防止了重复检查。同时由于规则表的排序是固定的，只能采用线性的方法开展搜索，而连接状态表里的记录是可以随意排列的，于是可采用诸如二叉树或hash等算法开展快速搜索，这就提高了系统的传输效率。同时，采用实时的连接状态监控技术，可以在状态表中通过诸如ACK(应答响应)、NO等连接状态因素加以识别，阻止该包通过，增强了系统的安全性。 另外，对于基于UDP协议的应用来说，由于该协议本身对于顺序错误或丢失的包并不做纠缠或重传，所以很难用简单的包过滤技术对其处理。***龙马防火墙在对基于UDP协议的连接处理时，会为UDP建立虚拟的连接，同样能够对连接过程状态开展监控，通过规则与连接状态的共同配合，到达包过滤的高效与安全。