文本内容:
防火墙平安及效能分析电脑资料封包过滤型封包过滤型的控制方式会检查所有进出防火墙的封包标头内容,如对及目地IP、使用协定、TCP或UDP的Port等信息进行控制管理现在的路由器、SwitchRouter以及某些操作系统已经具有用PacketFilter控制的能力封包过滤型控制方式最大的好处是效率高,但却有几个严重缺点管理复杂,无法对连线作完全的控制,规那么设置的先后顺序会严重影响结果,不易维护以及记录功能少封包检验型封包检验型的控制机制是通过一个检验模组对封包中的各个层次做检验,封包检验型防火墙在检查不完全的情况下,可能会造成问题去年被公布的有关Firewall-1的FastModeTCPFragment的平安弱点就是其中一例这个为了增加效能的设计反而成了平安弱点应用层闸通道型应用层闸通道型的防火墙采用将连线动作拦截,由一个特殊的代理程序来处理两端间的连线的方式,并分析其连线内容是否符合应用协定的标准这种方式的控制机制可以从头到尾有效地控制整个连线的动作,而不会被client端或server端欺骗,在管理上也不会像封包过滤型那么复杂但必须针对每一种应用写一个专属的代理程序,或用一个一般用途的代理程序来处理大局部连线这种运作方式是最平安的方式,但也是效能最低的一种方式防火墙是为保护平安性而设计的,平安应是其主要考虑因此,与其一味地要求效能,不如去思考如何在不影响效能的情况下提供最大的平安保护上述三种运作方式虽然在效能上有所区别,但我们在评估效能的同时,必须考虑这种效能的差异是否会对实际运作造成影响事实上,对大部份仍在使用T1以下或未来的xDSL等数Mbps的“宽带”网而言,即便是使用ApplicationGateway也不会真正影响网络的使用效能在这种应用环境下,防火墙的效能不应该是考虑的重点但是,当防火墙是架在企业网络的不同部门之间时,企业就必须考虑这种效能上的牺牲是否可以接受模板内容仅供参考 。