Ist bereits eine allgemeine Unternehmenszwecke Netzwerk-Firewall zu den wichtigsten Mechanismus für die Netzwerksicherheit in Unternehmen zu schützen. Allerdings beinhaltet die allgemeine Sicherheit des Unternehmensnetzwerks eine umfangreiche, nicht nur nicht lösen können alle Firewall-Sicherheit, Kontrolle der Verwendung der Firewall-Technologie, die Fähigkeit, ihre Sicherheit, Netzwerk-Infrastruktur, Security Policies und andere Faktoren schützen, wird die Netzwerksicherheit in Unternehmen beeinflussen.
Unter den vielen Faktoren, die Sicherheit der Firewall, sind einige Manager steuern können, aber einige sind in der Wahl einer Firewall kann nicht die Eigenschaften, die einen Schlüssel von der Firewall Access Control-Technologie verwendet wird. Control-Technologie derzeit Firewall lassen sich grob unterteilen in: Paketfilter-Typ (Packet Filter), Packet-Inspection-Typ (Stateful Inspection Packet Filter) sowie Application Layer Gate-Kanal-Typ (Application Gateway). Diese drei Techniken sind in der Sicherheit oder Leistung auf seine eigenen Eigenschaften, aber die meisten Menschen neigen dazu, nur achten Sie auf die Vernachlässigung der Effektivität der Firewall-Sicherheit und Effizienz des Konflikts. In diesem Beitrag zeigt drei Techniken der Firewall, und vergleichen Sie die Eigenschaften einer Vielzahl von Möglichkeiten, wie auch potenzielle Sicherheitsrisiken oder Leistungsverlust.
Packet-Filter-Typ: Paket-Filter-Modus und die Kontrolle aus der Firewall wird der gesamte Inhalt des Paket-Header, wie die Quell-und Ziel-IP zu verwenden Vereinbarungen, TCP oder UDP, Port und anderen Kontroll-und Management-Informationen überprüfen. Nun der Router, Switch Router und bestimmten Betriebssystem bereits die Fähigkeit, die Packet Filter zu steuern. Control Paketfilter Typ ist der größte Vorteil der hohen Effizienz, aber es gibt einige gravierende Nachteile: Management komplexer, kann nicht richtig sein, um die volle Kontrolle zu verbinden, Ordensregel festgelegt ernsthaft beeinträchtigen würde das Ergebnis, weniger leicht zu pflegen und Aufnahmefunktionen.
Packet Inspection-Typ: Packet Inspection-basierten Kontrollmechanismus ist ein Test-Modul für das Paket auf allen Ebenen des Testens zu tun. Packet Inspection-basierten Paketfilter-Typ in der Tat ist die erweiterte Version des Ziel ist es, den Paketfilter-basierte Sicherheit zu erhöhen, die Kontrolle zu verstärken "Connected"-Funktion. Allerdings ist Packet Inspection noch das Hauptthema der einzelnen Pakete, Päckchen mit verschiedenen Testverfahren können signifikante Unterschiede zu produzieren. Die Höhe des weitergehende Untersuchung wäre sicherer, sondern auch die geringere relative Performance.
Packet Inspection-Firewall, kann im Falle einer unvollständigen Prüfung zu Problemen führen. War letztes Jahr veröffentlicht wurde, die Firewall-1 für den Fast-Modus TCP Fragment von Sicherheitslücken ist ein Beispiel. Zur Erhöhung der Wirksamkeit dieses Design hat sich zu einer Sicherheitslücke.
Application Layer Gate-Kanal-Typ: Application Layer Gate-Kanal-Typ von Firewall verwendet, um Aktionen zu verbinden abzufangen, durch eine spezielle Agenten an beiden Enden der Verbindung zwischen der Art und Weise und zu analysieren, verarbeiten, ob die Anwendung von Abkommen zur Content-Standards zu verbinden. Auf diese Weise wird das Kontrollsystem effektiv kontrollieren kann die gesamte Verbindung vom Anfang bis zum Ende der Aktion, und wird nicht Client-oder Server-Seite werden zu betrügen, nicht in der Verwaltung so komplex wie die Paketfilter-Typ. Allerdings muss jeder Antrag auf eine exklusive Agent oder ein General-Purpose-Agenten für die meisten der Verbindungs-Handle geschrieben werden. So ist der sicherste Weg, aber es ist auch ein Weg, Mindestanforderungen an die Energieeffizienz.
Firewall soll den Schutz der Sicherheit, der Sicherheit sollten ihre wichtigste Kriterium sein. Deshalb, anstatt blind Forderungen Leistung als darüber nachzudenken, wie sich die Situation nicht auf die Leistung, um maximale Sicherheit bieten zu denken.
Obwohl die drei Werke in der Leistung unterscheiden, aber wir Leistung bewerten, müssen wir prüfen, ob dieser Unterschied in der Leistung wird der tatsächliche Betrieb beeinträchtigen. In der Tat sind die meisten noch mit den folgenden oder zukünftige xDSL T1 für mehrere Mbit / s von "Breitband"-Netze, auch wenn mit Hilfe des Application Gateway wird nicht wirklich Einfluss auf die Nutzung der Netzwerk-Performance. In dieser Anwendung Umwelt, sollte die Effektivität der Firewall nicht als Priorität betrachtet werden. Allerdings, wenn die Firewall den Rahmen in das Firmennetzwerk ist, zwischen verschiedenen Abteilungen, muss das Unternehmen prüfen, die Leistung des Opfers, der akzeptabel ist.