Er allerede en generel firmanetværk firewall til at beskytte den vigtigste mekanisme for virksomhedens netværk sikkerhed. Men, den generelle sikkerhed i virksomhedens netværk indebærer en omfattende, ikke blot kan ikke løse alle de firewall sikkerhed, kontrol af anvendelsen af firewall teknologi, evne til at beskytte sin sikkerhed, netværk infrastruktur, sikkerhedspolitik og andre faktorer vil påvirke virksomhedens netværk sikkerhed.
Blandt de mange faktorer, der påvirker sikkerheden af firewall, er nogle ledere kan kontrollere, men nogle er i valget af en firewall kan ikke ændrer ved egenskaber, som er en nøgle, der bruges af firewallen adgang styringsteknik. Styringsteknik i øjeblikket firewall kan groft inddeles i: pakkefilter type (Packet Filter), packet inspection type (Stateful Inspection Packet Filter) og applikationslaget gate-kanal type (Application Gateway). Disse tre teknologier på sikkerhed eller effektivitet på dets egne kendetegn, men de fleste mennesker en tendens til at fokusere på resultater forsømmelse af firewall sikkerhed og effektivitet konflikt. I dette papir viser tre teknikker firewallen, og sammenligne egenskaber på mange forskellige måder og de potentielle sikkerhedsrisici eller præstationer tab.
Packet filter type: pakke type filter kontrol metode vil tjekke alle indgående og udgående firewall pakke header indhold, såsom kilde og formål til IP, så brug aftaler, TCP eller UDP, Port-og andre kontrolforanstaltninger og administrative oplysninger. Nu router, Switch Router, og visse operativsystem allerede har evnen til at bruge Packet Filter kontrol. Pakkefiltrering baseret Control største fordel er effektivitet, men der er flere alvorlige ulemper: lede komplekse, ude af stand til at forbinde til fuld kontrol kan reglerne i den for alvorlig grad ville påvirke resultaterne, nem vedligeholdelse, og rekordlav.
Packet Inspection type: type af kontrol packet inspection mekanisme er en test modul af pakken at gøre på alle niveauer af test. Packet Inspection-baserede pakke filter type kan kaldes en udvidet udgave af Målet er at øge pakkefilter-baseret sikkerhed, øge kontrollen "connected" evne. Men packet inspection er stadig den vigtigste emne individuelle pakker, pakker af forskellige metoder kan skabe betydelige forskelle. Niveauet for den mere omfattende undersøgelse ville være mere sikker, men også de lavere relative performance.
Packet inspection firewall, kontrol der er tale om ufuldstændige kan give problemer. Blev offentliggjort sidste år, Firewall-1 for Fast Mode TCP Fragment af sikkerhedshuller er et eksempel. Den henblik på at øge effektiviteten af design er blevet en svaghed.
Applikationslaget gate-kanal-type: applikationslaget gate-kanal type firewall bruges til at forbinde handlinger til at aflytte, af en særlig agent til at håndtere begge ender af forbindelsen mellem den måde og til at analysere, om anvendelsen af aftalerne til at forbinde indhold standarder. På denne måde kontrolmekanisme effektivt kan kontrollere hele forbindelsen fra start til slut aktionen, og vil ikke blive klientsiden eller server-side snyd, ikke som i forvaltningen af pakkefiltrering baseret mindre kompliceret. Dog skal hver enkelt ansøgning være skrevet til en eksklusiv agent, eller en generel formål agenter til at håndtere de fleste af forbindelsen. Denne tilstand af operation er den sikreste måde, men det er også en form for mindstekrav til ydeevnen.
Firewall er designet til at beskytte sikkerhed skulle være deres vigtigste bevæggrund. Derfor, i stedet for blindt krav ydeevne som at tænke over, hvordan situationen påvirker ikke resultater for maksimal sikkerhed.
Selv om de tre værker er forskellige i ydelse, men vi evaluere, må vi overveje, om denne forskel i ydelse vil påvirke den faktiske drift. Faktisk er de fleste stadig bruger T1 eller mindre for flere Mbps xDSL fremtid "bredbånd" netværk er berørt, selv ved hjælp af Application Gateway vil ikke rigtig påvirke brugen af netværkets ydeevne. I denne ansøgning miljøet bør firewall effektivitet ikke betragtes som en prioritet. Men når firewall er rammen i virksomhedens netværk, mellem forskellige afdelinger, skal virksomheden overveje udførelsen af det offer, som er acceptabel.