【IT168专稿】作为一种网络连接设备，防火墙处于连接内部网络和外部网络的咽喉要道，几乎所有的内部网与外部网的访问信息都要通过它，而防火墙性能的高低，直接关系到整个网络的通信效率。而性能与效率一直被业内认为是防火墙的矛与盾。如何保证防火墙的高安全性，又不降低其通过能力成为摆在很多厂商面前的一道难题。

　　无论是功能还是性能对于防火墙都很重要。但是，防火墙的安全功能，诸如用户验证、数据加密和解密、网络地址转换以及域名解析等服务，经常使防火墙负担过重，从而造成防火墙性能的下降。

　　但在有些时候，这些安全功能又是必不可少的，因为它们保证了网络的安全性。因此，如何平衡好防火墙的安全功能与性能，变得十分重要。尤其是目前新型的防火墙，集成了更多安全功能，使得性能问题变得更加突出。

　　左丹奴集团的CIO候彤就表示：我们使用的防火墙集成了很多安全功能，但是我们出于性能考虑，有些安全功能都不敢开启，比如防病毒模块。因为开启后会造成防火墙其他性能大幅度下降，得不偿失。

　　据了解，一般情况下，防火墙功能增加以后，会直接对其性能造成影响。调查显示：多功能防火墙往往肩负着防火墙、网关防病毒、入侵检测、内容过滤等多种功能，因此受制于深度检测与模式匹配的原理，网络层上无法找到流量共性。所以目前市场上主流的采用x86架构的多功能防火墙其硬件平台的结构决定了性能下降的必然性。一些厂商的百兆产品，在单独打开网关防毒功能后，性能下降到8M；如果单独打开IPS功能，性能也接近8M；如果两项功能全部打开，性能下降到6M。有些产品甚至可以到达96%的性能下降。

　　很多防火墙厂商在设计防火墙的时候，既要满足用户对安全功能的需求，也要满足高性能的要求，一时无法找到这种平衡关系，从而出现了"性能与效率"之争。而业界一种普遍的说法是，集成型的防火墙产品想要面面俱到，但实际上哪方面都没有做好。那么，防火墙性能和功能之间的矛盾就真的无法平衡吗？其实二者的关系并非是水火不容。

      改变传统 集成型防火墙好在哪？

　　从防火墙技术的发展来看，防火墙的性能和功能从一开始就是一对矛盾。各个厂商的防火墙产品之间虽然有一定的差异，但其原理是相通的。我们先来看看传统防火墙和新型集成防火墙之间的区别。

　　传统防火墙可以分为四种类型：包过滤、应用级网关、代理服务器和状态检测。

　　一、数据包过滤型防火墙

　　数据包过滤技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表。通过检查数据流中每个数据包的源地址、目的地址、所用的端 口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。

　　二、应用级网关型防火墙

　　应用级网关是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。

　　三、代理服务型防火墙

　　代理服务也称链路级网关或TCP通道，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的"链接"，由两个终止代理服务器上的"链接"来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。

　　四、状态检测型防火墙

　　这是继"包过滤"技术和"应用代理"技术后发展的防火墙技术。对于新建立的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要是符合状态表，就可以通过。这种方式的好处在于：由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包（通常是大量的数据包）通过散列算法，直接进行状态检查，只要符合状态表，就可以通过，从而使性能得到较大的提高；而且，它根据从所有应用层中提取与状态相关的信息来做出安全决策，使得安全性也得到进一步的提高。由此可见，防火墙技术本身的改进，是可以缓解性能与功能之间的矛盾的。

　　以上四种防火墙都有各自的特色，也都有各自的不足。主要是现在我们所面临的威胁已经不能简单的依靠一款或者几款产品来保证了。我们需要的是一个系统的、全面的解决方案。而且这个解决方案还要具备容易设置、管理简洁等特点。而传统的采购一堆不相干的安全设备组成冗余的安全防护系统的做法已经被很多人所摒弃。正如思科安全产品业务拓展经理王晓炜所言，当遇到安全事件时，用户一堆设备都分别报警，由于属于不同的厂商的不同设备，用户界面和事件报告也大不相同，用户看起来着实头大，也无从判断事件的性质和威胁程度。但是，又不能不管，可是管呢，很可能到头来只是某个用户的误操作或误点击，只是各个相应的设备都报了警；可要是不管，又很可能的确是一个很大的威胁。所以，无论事件本身的性质，无论管不管，对这些设备的统一管理和操作本身就是一个问题。这正表明了，集成和整合是现代安全新的需求。

　　新型防火墙主要指在防火墙中集成了入侵检测、防病毒、反间谍软件、反垃圾邮件、内容过滤等多功能的网络安全设备。这是针对新形式的网络威胁产生的产品形态。可以进行统一管理和操作，避免为了应对太多威胁而购买很多安全设备造成的产品间相互不能协调，误报频繁的问题。

　　  改变架构 集成不再受性能平静之忧

      要想兼顾性能与效率，也可以使用性能更高的硬件和架构，比如NP和ASIC等。而模块化设备和单独的处理单元也可以保障性能。思科在洞悉用户即将面临的潜在问题后，采用模块化架构，设备的每个单独功能都采用单独的处理单元来保障性能，以此解决用户在使用遇到的性能和功能矛盾的问题。

　　此外，软件改善也能减缓多功能防火墙性能下降。比如针对网关防病毒的多检测引擎互嵌技术，因为传统上如果简单地把功能模块堆叠在一起，让数据包经过防火墙、VPN、病毒检测、垃圾邮件处理，这样一个串行处理过程会消耗很多资源。合理的方法是把这些功能模块整合到一起，如果进行垃圾邮件过滤，又要进行邮件查毒，那么就先进行垃圾邮件过滤，然后再进行邮件防毒的工作，从而减少很多垃圾邮件中携带病毒对于防火墙性能的损耗。VPN也是如此，先查病毒，后进行VPN隧道加解密。目前很多厂商已经把这种技术做成一种规则，以便减轻防火墙性能负担。

　　针对防病毒模块对防火墙性能的损耗，也有一种流检测技术。流检测技术专注在第七层，对于只有当数据包完全接收下来以后才会形成的病毒，防病毒模块可以先不采取行动，仅仅利用拷贝机制进行数据复制，同时正常转发数据。一旦最终判断出数据包是病毒，则把最后几个发给用户的包阻止即可。

　　除了软硬件的改善以外，合理配置防火墙也是平衡防火墙性能与效率的关键一步。例如，对于包过滤防火墙，如果用户设置的过滤规则逻辑重叠、条目众多，也会出现防火墙性能降低、网络资源衰竭等问题。配置有效的防火墙应遵循四个基本步骤：风险分析、需求分析、确立安全策略、选择准确的防护手段并使之与安全策略保持一致。通过对防火墙所提供的安全功能进行有效、合理的配置，使得在保证网络安全的同时尽可能减少对防火墙性能的影响。

　　还有就是，对于多功能防火墙来说，并非集成功能越多就越好，有些安全功能，还是让专有设备来做更能体现其价值。尤其是对性能要求很高的企业，应该偏重于选择那些功能少性能强的产品。而对于大部分中小企业来说，集成度高一些的产品有助于减少购置和管理成本。所以说，平衡性能与效率，并不简简单单是防火墙一款产品的事。

　　新型防火墙是一种理念的改变，是新技术的挖掘和集成，是接受市场需求挑战的主动迎战，是对付零日攻击、提升检测多种威胁或混合威胁能力的好办法。但想在一个目前还在追求不断提升硬件技术或提高硬件平台处理能力的时代，要做一个“集大成”的防火墙还需时日。