文章--網路防火牆安全控制技術的安全與效能分析

[Johnson]

網路防火牆安全控制技術的安全與效能分析　04/16

Infopro.com 2001/4/16
------------------------------------------------------------

網路防火牆早已經是一般企業組織用來保護企業或是組織網路安全的主要安全
保護機制，然而，企業網路的整體安全性所牽涉的層面相當廣泛。防火牆不僅
無法解決所有的安全問題，防火牆所使用的控制技術、自身的安全保護能力、
網路架構、安全政策設定等因素都會影響企業網路的安全性以及防火牆是否能
夠達到其應有的功能。

在眾多影響防火牆安全性的因素之中，有些是管理人員可以控制的。但是有些
卻是在選擇了防火牆之後便無法改變的特性，其中一個很重要的關鍵在於防火
牆所使用到存取控制技術。目前實作在防火牆的控制技術大概分為：封包過濾
型(Packet Filter)、封包檢驗型(Stateful Inspection Packet Filter)以及
應用層閘道型(Application Gateway)三種。這三種技術分別在安全性或是效能
上有其特別的優點。不過一般人往往只注意到防火牆的效能而忽略了安全性與
效率之間往往是互相衝突的。本文針對防火牆這三種技術進行說明，並比較各
種方式之特色，以及其可能帶來的安全風險或是效能損失程度：

封包過濾型：封包過濾型的控制方式會檢查所有進出防火牆的封包標頭內容：
如來源及目地IP、使用協定、TCP 或 UDP 的 Port 等資訊進行控管。現今的
路由器、Switch Router 以及某些作業系統已經具有以 Packet Filter 控制
的能力。封包過濾型的控制方式最大的好處是效率最高，但有幾個嚴重缺點：
管理複雜、無法對連線作完全的控制、規則設定的先後順序會嚴重影響結果、
不容易維護以及極少記錄功能。

封包檢驗型：封包檢驗型的控制機制透過一個檢驗模組對封包中的各個層次作
檢驗。封包檢驗型可謂是封包過濾型的加強版本，目的在增加封包過濾型的安
全性，增加控制「連線」的能力。但由於封包檢驗的主要檢查對象仍是個別的
封包檢驗型防火牆，在檢查不完全的狀況下，可能會造成原本以為只有特定的
服務可以通過，但是透過精心設計，切割過的封包，可以在到達目的地時，因
重組而被轉變成原本並不允許通過的連線要求。去年被公佈關於 Firewall-1
的 Fast Mode TCP Fragment 安全弱點，就是其中一個例子。這個為了增加效
能的設計，反而成為安全弱點。

應用層閘通道型：應用層閘通道型式的防火牆採用將連線動作攔截，由一個特
殊的代理程式來處理兩端間的連線的方式，並分析其連線內容是否符合應用協
定的標準。這種方式的控制機制可以從頭到尾有效的控制整個連線的動作，而
不會被client或server端欺騙，在管理上也不會像封包過濾型複雜，但可能必
須針對每一種應用特別寫一個專屬的代理程式，或是一個一般用途的代理程式
來處理大部分的連線。這種運作方式是最安全的方式，但是也是效能最低的一
種方式。

防火牆是為保護安全性而設計，安全要求自應該是主要的考慮。因此，與其一
味地要求效能，不如思考如何在不影響效能的狀況下提供最大的安全保護。

上述三種運作方式雖然在效能上有所區別，但是在評估效能的同時，必須考慮
這種效能的差異是否會對實際運作造成影響。事實上，對於大部份仍停留使用
T1以下，或是未來的 xDSL 等數 Mbps 的「寬頻」網路而言，即便是使用 Ap
plication Gateway 也不會真正影響 網路的使用效能。這種應用環境下，防
火牆的效能不應該是考慮的重點。但是，若防火牆是架構在企業內網路的不同
部門之間時，企業就必須思考這種效能上的犧牲是否是可以接受的。(作者蔡
均璋為諮安科技技術顧問)

[schuey]

受用!受用!
能夠提供更深入的文章嗎?