【IT168专稿】“现在的防火墙性能令人不满意的地方太多了，”小王抱怨道，“让我最不满意的一点就是防火墙系统资源消耗太大。”

　　小王做网管多年，防火墙问题一直在困扰着他。实际上像小王这样的网管不在少数，他们已经对传统的防火墙丧失信心。很多人都希望在不久的将来，出现新一代的防火墙，以解决他们现在遇到的问题。

　　功能和效率一个都不能少

　　作为一种网络连接设备，防火墙处于连接内部网络和外部网络的咽喉要道，几乎所有的内部网与外部网的访问信息都要通过它，而防火墙性能的高低，直接关系到整个网络的通信效率。而性能与效率一直被业内认为是防火墙的矛与盾。如何保证防火墙的高安全性，又不降低其通过能力成为摆在很多厂商面前的一道难题。

　　无论是功能还是性能对于防火墙都很重要。但是，防火墙的安全功能，诸如用户验证、数据加密和解密、网络地址转换以及域名解析等服务，经常使防火墙负担过重，从而造成防火墙性能的下降。

　　但在有些时候，这些安全功能又是必不可少的，因为它们保证了网络的安全性。因此，如何平衡好防火墙的安全功能与性能，变得十分重要。尤其是目前新型的防火墙，集成了更多安全功能，使得性能问题变得更加突出。

　　左丹奴集团的CIO候彤就表示：我们使用的防火墙集成了很多安全功能，但是我们出于性能考虑，有些安全功能都不敢开启，比如防病毒模块。因为开启后会造成防火墙其他性能大幅度下降，得不偿失。

　　据了解，一般情况下，防火墙功能增加以后，会直接对其性能造成影响。调查显示：多功能防火墙往往肩负着防火墙、网关防病毒、入侵检测、内容过滤等多种功能，因此受制于深度检测与模式匹配的原理，网络层上无法找到流量共性。所以目前市场上主流的采用x86架构的多功能防火墙其硬件平台的结构决定了性能下降的必然性。一些厂商的百兆产品，在单独打开网关防毒功能后，性能下降到8M；如果单独打开IPS功能，性能也接近8M；如果两项功能全部打开，性能下降到6M。有些产品甚至可以到达96%的性能下降。

　　很多防火墙厂商在设计防火墙的时候，既要满足用户对安全功能的需求，也要满足高性能的要求，一时无法找到这种平衡关系，从而出现了“性能与效率”之争。而业界一种普遍的说法是，集成型的防火墙产品想要面面俱到，但实际上哪方面都没有做好。那么，防火墙性能和功能之间的矛盾就真的无法平衡吗？其实二者的关系并非是水火不容。