Chinaunix首页 | 论坛 | 博客
  • 博客访问: 18681173
  • 博文数量: 7460
  • 博客积分: 10434
  • 博客等级: 上将
  • 技术积分: 78178
  • 用 户 组: 普通用户
  • 注册时间: 2008-03-02 22:54
文章分类

全部博文(7460)

文章存档

2011年(1)

2009年(669)

2008年(6790)

分类: 系统运维

2008-05-03 15:40:17

很多朋友都热衷于各种各样的包,试图把自己电脑保护的更一些。首先,我们要肯定两点,一是朋友们具有了一些安全意识,自发地主观地追求主动保护自己电脑的安全;二是朋友们对我们常用的防火墙软件有了一些感性的认识,认识到包过滤型防火墙只是一个工具,要靠规则包才能完成安全防护。但是防火墙规则真的是越多越好么?下面我们就来一起分析一下这个问题。

我们常用的防火墙其主要功能原理是包过滤机制,什么是包过滤呢?我们都知道网络上的数据传输并不是连续进行的,而是分割成一个数据包一个数据包分别传输。包过滤防火墙的意思就是鉴别发送和传输的每一个数据包,看他们是否和防火墙规则相匹配,按照规则的设定,规则上允许放行的就放行,不允许放行的就把数据包抛弃(相当于阻断了该网络连接)。包过滤防火墙判断的主要依据就是每个数据包的源IP地址和端口,目的IP地址和端口,协议类型(如TCP、UDP、ICMP、IGMP等),TCP六个标志位等等。

因为包过滤防火墙对每一个数据包都要按照防火墙规则顺序比对规则,所以我们说防火墙规则数量越少,比对规则消耗的就会越小,防火墙的效率就越高,消耗的CPU就越低;体现在网速上就是规则越少对网速的影响会越小,也就是网速会越快。所以我们说在同等效力的情况下,包过滤防火墙的规则数量应该是越少越好。

有的朋友可能会去实际做实验,尝试不同数量规则包对网络速度的影响,结果很可能会是看不出有明显的影响。为什么会这样呢?因为我们目前的网络条件属于低速网络,我国主流的ADSL上网,速率不过512K-2M,数据包比对的工作量相对于我们目前主流电脑G级主频的CPU来说,并不算是太繁重的任务。所以对一般的ADSL用户来说,并没有明显感觉到规则包数量对系统和网速的影响。有兴趣的局域网用户可以去尝试一下,越大,差异会越明显,这也就是企业硬件防火墙为了保证效率,需要严格限制规则数量的主要原因。
阅读(1632) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~