既に一般的な企業ネットワークのファイアウォールは、企業ネットワークのセキュリティのための主要なメカニズムを保護するためです。しかし、企業ネットワーク全体のセキュリティだけでなく、制御ファイアウォール技術の利用、能力、セキュリティ、ネットワークインフラストラクチャ、セキュリティポリシーおよびその他の要因を保護するため、企業ネットワークのセキュリティに影響を与えるすべてのセキュリティ問題を解決することはできません広範なファイアウォールを伴います。
多くの要因ファイアウォールの安全性能に影響を与える中には、管理者がコントロールできるが、いくつかのファイアウォールの選択の重要なファイアウォールのアクセス制御技術によって使用される特性を変更できないです。現在のファイアウォールで制御技術が広くに分けることができます:パケットフィルタの種類(パケットフィルタ)、パケット検査型(ステートフルインスペクションパケットフィルタ)とアプリケーション層のゲートチャネルのタイプ(アプリケーションゲートウェイ)。これら3つの技術は、セキュリティやその独自の特徴のパフォーマンスで、ですが、ほとんどの人はファイアウォールのセキュリティと葛藤の効率化の有効性を無視to注意を払う傾向がある。本稿では、3つの手法は、双方向交通牙石の機能ファイアウォールを説明されて、すべてのセキュリティ上のリスクまたはSunの始皇帝のパフォーマンスを可能。
パケットフィルタのタイプ:パケットタイプのフィルタ制御メソッドは、すべての着信および発信ファイアウォールのパケットヘッダーの内容は、ソースとIPを目的、使用契約は、TCPまたはUDP、ポートおよびその他の制御と管理情報などをチェックします。今ルータは、スイッチルータは、特定のオペレーティングシステムが既に機能をパケットフィルタコントロールを使用している。パケットフィルタリング基づく制御の最大の利点は効率ですが、いくつかの重大な欠点は:複雑な、フルコントロールに接続できない管理、ルールShezhi注文の悪影響の結果に影響を与えるではなく、以下のYiji記録機能を維持するために簡単です。
パケットインスペクションのタイプ:パケット検査ベースの制御機構、パケットのテストモジュールテストのすべてのレベルで行うことです。パケット検査ベースのパケットフィルタの種類は、目的の拡張版と呼ばれることが、増加のコントロール"接続"機能をパケットフィルタベースのセキュリティを高めることにあります。アジしかし、パケットの検査はまだ大きな個々のパケットは、異なるテストメソッドのパケット大きな違いがある場合があります。より広範な検査のレベルがより安全になるだろうが、また、低い相対的なパフォーマンス。
パケットインスペクションファイアウォール、不完全な問題が発生することができる場合をチェック。昨年モードのTCPフラグメント高速、ファイアウォール- 1のセキュリティ脆弱性の公開されて1つの例です。ためにセキュリティの脆弱性となっているこのデザインの有効性を向上させます。
アプリケーション層ゲートチャネルのタイプ:ファイアウォールのアプリケーション層ゲートチャネルの種類、特別代理人によるアクションを傍受に接続する方法と分析する間の接続の両端を処理するために使用されるかどうか、コンテンツの接続アプリケーションプロトコルの標準。コントロールのメカニズムを効果的にアクションを終了します最初から全体connectionを制御することができますこの方法は、and、クライアントのsideまたはサーバー側されず、managementでso複雑なパケットフィルタの種類としてではなくカンニング。ただし、各アプリケーションは、総代理店、または汎用エージェントの接続のほとんどを処理するために書き込まれる必要があります。この動作モードでは、安全な方法ですが、それも最低限の性能の形式です。
ファイアウォールは、安全性を保護するために、セキュリティは重要な考慮する必要がありますです。したがって、代わりに盲目的にどのような状況は、最大限のセキュリティを提供するためにパフォーマンスに影響ないと思うように性能を求めている。
3つの作品は、パフォーマンスの違いが、我々はパフォーマンスを評価し、我々がいるかどうかこのパフォーマンスの違いは、実際の動作に影響を与えるかを考慮する必要があります。事実では、多くstill懸念している、しかも、ネットワークの利用効率をaffectしないwill Application Gatewayを使用して"broadband"network of xDSLのfutureをT1のor、いくつかのMbpsの以下と使用している。このアプリケーション環境では、ファイアウォールの有効性を優先考慮すべきではない。しかし、ファイアウォールは、企業ネットワーク内のフレームは、異なる部門の間に、企業が受け入れられる犠牲のパフォーマンスを考慮する必要があります。