【IT168专稿】作为一种网络连接设备，防火墙处于连接内部网络和外部网络的咽喉要道，几乎所有的内部网与外部网的访问信息都要通过它，而防火墙性能的高低，直接关系到整个网络的通信效率。而性能与效率一直被业内认为是防火墙的矛与盾。如何保证防火墙的高安全性，又不降低其通过能力成为摆在很多厂商面前的一道难题。

　　无论是功能还是性能对于防火墙都很重要。但是，防火墙的安全功能，诸如用户验证、数据加密和解密、网络地址转换以及域名解析等服务，经常使防火墙负担过重，从而造成防火墙性能的下降。

　　但在有些时候，这些安全功能又是必不可少的，因为它们保证了网络的安全性。因此，如何平衡好防火墙的安全功能与性能，变得十分重要。尤其是目前新型的防火墙，集成了更多安全功能，使得性能问题变得更加突出。

　　左丹奴集团的CIO候彤就表示：我们使用的防火墙集成了很多安全功能，但是我们出于性能考虑，有些安全功能都不敢开启，比如防病毒模块。因为开启后会造成防火墙其他性能大幅度下降，得不偿失。

　　据了解，一般情况下，防火墙功能增加以后，会直接对其性能造成影响。调查显示：多功能防火墙往往肩负着防火墙、网关防病毒、入侵检测、内容过滤等多种功能，因此受制于深度检测与模式匹配的原理，网络层上无法找到流量共性。所以目前市场上主流的采用x86架构的多功能防火墙其硬件平台的结构决定了性能下降的必然性。一些厂商的百兆产品，在单独打开网关防毒功能后，性能下降到8M；如果单独打开IPS功能，性能也接近8M；如果两项功能全部打开，性能下降到6M。有些产品甚至可以到达96%的性能下降。

　　很多防火墙厂商在设计防火墙的时候，既要满足用户对安全功能的需求，也要满足高性能的要求，一时无法找到这种平衡关系，从而出现了"性能与效率"之争。而业界一种普遍的说法是，集成型的防火墙产品想要面面俱到，但实际上哪方面都没有做好。那么，防火墙性能和功能之间的矛盾就真的无法平衡吗？其实二者的关系并非是水火不容。

      改变传统 集成型防火墙好在哪？

　　从防火墙技术的发展来看，防火墙的性能和功能从一开始就是一对矛盾。各个厂商的防火墙产品之间虽然有一定的差异，但其原理是相通的。我们先来看看传统防火墙和新型集成防火墙之间的区别。

　　传统防火墙可以分为四种类型：包过滤、应用级网关、代理服务器和状态检测。

　　一、数据包过滤型防火墙

　　数据包过滤技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表。通过检查数据流中每个数据包的源地址、目的地址、所用的端 口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。

　　二、应用级网关型防火墙

　　应用级网关是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。

　　三、代理服务型防火墙

　　代理服务也称链路级网关或TCP通道，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的"链接"，由两个终止代理服务器上的"链接"来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。

　　四、状态检测型防火墙

　　这是继"包过滤"技术和"应用代理"技术后发展的防火墙技术。对于新建立的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要是符合状态表，就可以通过。这种方式的好处在于：由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包（通常是大量的数据包）通过散列算法，直接进行状态检查，只要符合状态表，就可以通过，从而使性能得到较大的提高；而且，它根据从所有应用层中提取与状态相关的信息来做出安全决策，使得安全性也得到进一步的提高。由此可见，防火墙技术本身的改进，是可以缓解性能与功能之间的矛盾的。

　　以上四种防火墙都有各自的特色，也都有各自的不足。主要是现在我们所面临的威胁已经不能简单的依靠一款或者几款产品来保证了。我们需要的是一个系统的、全面的解决方案。而且这个解决方案还要具备容易设置、管理简洁等特点。而传统的采购一堆不相干的安全设备组成冗余的安全防护系统的做法已经被很多人所摒弃。正如思科安全产品业务拓展经理王晓炜所言，当遇到安全事件时，用户一堆设备都分别报警，由于属于不同的厂商的不同设备，用户界面和事件报告也大不相同，用户看起来着实头大，也无从判断事件的性质和威胁程度。但是，又不能不管，可是管呢，很可能到头来只是某个用户的误操作或误点击，只是各个相应的设备都报了警；可要是不管，又很可能的确是一个很大的威胁。所以，无论事件本身的性质，无论管不管，对这些设备的统一管理和操作本身就是一个问题。这正表明了，集成和整合是现代安全新的需求。

　　新型防火墙主要指在防火墙中集成了入侵检测、防病毒、反间谍软件、反垃圾邮件、内容过滤等多功能的网络安全设备。这是针对新形式的网络威胁产生的产品形态。可以进行统一管理和操作，避免为了应对太多威胁而购买很多安全设备造成的产品间相互不能协调，误报频繁的问题。