在捍卫网络安全的过程中，防火墙受到人们越来越多的青睐。作为一种提供信息安全服务、实现网络和信息安全的基础设施，防火墙采用将内部网和公众网如Internet分开的方法，可以作为不同网络或网络安全域之间信息的出入口，根据企业的安全策略控制出入网络的信息流。再加上防火墙本身具有较强的抗攻击能力，能有效地监控内部网和Internet之间的任何活动，从而为内部网络的安全提供了有力的保证。

　　但是，防火墙在为内部网络带来安全的同时，也产生了一定的反作用——它降低了网络运行效率。作为防火墙应用的主要安全技术，在传统防火墙的设计中，包过滤只是与规则表进行匹配，对符合规则的数据包进行处理，不符合规则的就丢弃。由于是基于规则的检查，同属于同一连接的不同包毫无任何联系，每个包都要依据规则顺序过滤。由于网络安全涉及领域很多，技术复杂，安全规则往往要达到数百甚至上千种。随着安全规则的增加，很多防火墙产品都会出现性能大幅度降低，网络资源衰竭等问题，从而造成网络拥塞。所以，安全与效率的两难选择成为传统防火墙面临的最大问题。此外，在这种设计中，黑客可能会采用IP Spoofing的办法将自己的非法包伪装成属于某个合法的连接，进而侵入用户的内部网络系统。因此，传统的包过滤技术既缺乏效率又容易产生安全漏洞。

　　今天，技术的发展已使得网络逐渐融入人们的生活。人们在享受网络带来的方便的同时，不仅要求其具有较高的安全系数，同时对其数据传输速度提出了更高的要求。适应这一需求，防火墙产品必须在提高安全性能的同时，解决传输速率瓶颈，实现安全、效率上的双方突破。为达到这一目标，基于连接的包过滤技术应运而生。日前，东方龙马公司推出了具有自主核心技术的防火墙新品，该产品就利用这一技术，将属于同一连接的所有包作为一个整体的数据流看待，通过规则表与连接状态表的共同配合，大大的提高了系统的传输效率和安全性，从而较好的解决了防火墙固有的安全与效率的矛盾问题。

　　与传统包过滤的无连接检测技术不同，基于连接状态的包过滤在进行包的检查时，不仅将其看成是独立的单元，同时还要考虑它的历史关联性。例如，在基于TCP协议的连接中，每个包在传输时都包括了IP源地址、IP目的地址、协议的源接口和目的接口等信息，还包括了对在允许的时间间隔内是否发生了TCP握手消息的监视信息等。这些信息与每个数据包都是有关联的。换句话说，对于属于同一个连接的数据包来说并不是孤立的，它们存在内部的关联信息。无连接的包过滤规则由于忽略了这些内在的关联信息，对每个数据包都进行孤立的规则检测，所以大大降低了传输效率。