数据包分类与检查，也就是将数据包分类到不同的流中，通过检查包头，确定如何处理数据块，这一步对于服务处理至关重要。传统的路由器通过对照访问控制表（ACL）检查包头，对数据包进行分类，从而确定数据包下一个要去的地方。然而，由于不同的服务缺少统一的ACL，一个数据包必须被分类和检查多次，这无疑降低了处理效率。

今天，厂商正在将多个服务整合到一台设备上，但是这些设备仍按照原来的多次分类的方式对数据包进行处理，使得上述的矛盾进一步突出：整合的设备每增加一个服务，处理效率就进一步下降，开销也进一步增加。人们希望可以通过一次检查对所有服务的数据包进行分类，来克服这些问题，实现一步到位的高效处理。

一次通过的数据包分类若想行之有效，数据包必须按一定顺序通过一个多功能服务网关，以确保所有的服务在正确的点上得到处理。在多次分类中，服务网关首先将数据包传送到一台路由器上，在这台路由器上进行第一次分类，一旦数据包离开这台路由器，进入防火墙后，就再次进行分类。

在采用一次通过的数据包分类时，数据包首先进入防火墙，因此保护了网关中所有其他服务。在防火墙中，IPSec服务对数据包进行解密和分类——使用公共分类仅进行一次，然后给数据包加上一个标签。标签包含哪些服务需要处理这个数据包的说明。数据包然后传送给服务网关中的一个过滤器，过滤器根据标签上的信息接收或拒绝这个数据包。

离开过滤器后，数据包接受拒绝服务检查，之后进入入侵防御/入侵检测系统(IPS/IDS)。后者不仅检查数据包的内容，查找入侵迹象，而且还提取、规范化和处理有关内容的信息，并将信息保存在一个中央内容管理信息库中。

当数据包传送给网络地址转换（NAT）服务时，这个内容信息库尤其有用，因为NAT应用需要深层次的数据包检查，以搜索内容，查找非法语句。只有在数据包经过分类、检查并确认安全后，网关才将它转发给路由器，最后进入内部网络。

一次通过的分类和内容检查，减少了发生错误的风险，将延时减少到最低程度。（美国《Network World》供本报专稿）

来源：CCW