思科防火墙销售指南之应用篇(9)

思科的ASA适应性安全算法则不同，它完全不需要用户调整网络结构和应用系统，它可以在防火墙的任何部署方式下提供完全一致的应用保护能力，这意味着用户不需要为了获得应用层保护能力而改变网络结构和应用系统，也完全不需要调整应用层的保护策略（过滤规则），它会与原来完全等同的效果去执行。

比如用户在一个已有的提供Web访问的服务器群中又增加了一个Web服务器，用户仅需要在PIX防火墙上增加一条针对该Web服务器漏洞的应用过滤规则即可以达到对该服务器的保护的目的，而服务器本身则完全不需要考虑防火墙的存在。

同样对于任何提供的应用保护协议，都对网络结构和应用系统完全透明，比如可以在交换模式下对通过防火墙的邮件标题进行关键字过滤，并对携带某些关键字的邮件采取“抛弃”的策略，则那些携带了某些关键字的“不好”的邮件在到达内部的邮件服务器前就完全“消失”了，无论是服务器还是该邮件的发送者都不会觉察，这样的功能可以非常有效的防止垃圾邮件进入企业内部，并且非常容易实施（不需要修改邮件服务器和DNS的配置）。

防火墙性能

防火墙中的TCP协议栈是专为防火墙的进行数据流转发而设计的，其在数据分析过程中的拷贝次数、内存资源的开销方面都优于普通操作系统的TCP协议栈。

应用代理系统使用操作系统的socket接口，对于任何一个通过防火墙的连接都必须消耗两个socket资源，而这个资源在普通操作系统中是非常紧缺的，通常只能允许同时处理一、两千个并发的连接，即使对于一个流量较小的网络来说这也不是一个很大的数量。同时，典型的代理系统需要为每一个连接创建一个进程，当几千个连接存在时，大量的进程会消耗掉非常多的内存，并使CPU在上下文切换中浪费掉大量的处理资源，系统的吞吐能力会急剧下降。

思科PIX防火墙不使用socket接口，而是采用了连接状态表的技术，一个内核进程可以使用很小的开销同时处理几万甚至几十万的并发连接。正是这种先进的技术使得思科PIX防火墙可以在非常繁忙的站点提供有效的高性能的应用层保护。