防火墻是網(wǎng)絡(luò)上使用最多的安全設(shè)備����,是網(wǎng)絡(luò)安全的重要基石。防火墻廠商為了占領(lǐng)市場�,對防火墻的宣傳越來越多,市場出現(xiàn)了很多錯誤的東西��。其中一個典型的錯誤�,是把防火墻萬能化。為了確保網(wǎng)絡(luò)的安全����,正確認(rèn)識和了解防火墻的局限性和脆弱性,很有必要�����。
一�����、防火墻的局限性
1、防火墻不能防范不經(jīng)過防火墻的攻擊�����。沒有經(jīng)過防火墻的數(shù)據(jù)���,防火墻無法檢查�����。
2���、防火墻不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題����。防火墻可以設(shè)計為既防外也防內(nèi),誰都不可信�,但絕大多數(shù)單位因?yàn)椴环奖悖灰蠓阑饓Ψ纼?nèi)�����。
3���、防火墻不能防止策略配置不當(dāng)或錯誤配置引起的安全威脅��。防火墻是一個被動的安全策略執(zhí)行設(shè)備�,就像門衛(wèi)一樣,要根據(jù)政策規(guī)定來執(zhí)行安全��,而不能自作主張�����。
4�����、防火墻不能防止可接觸的人為或自然的破壞�。防火墻是一個安全設(shè)備,但防火墻本身必須存在于一個安全的地方�����。
5����、防火墻不能防止利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中的缺陷進(jìn)行的攻擊。一旦防火墻準(zhǔn)許某些標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議���,防火墻不能防止利用該協(xié)議中的缺陷進(jìn)行的攻擊��。
6��、防火墻不能防止利用服務(wù)器系統(tǒng)漏洞所進(jìn)行的攻擊�����。黑客通過防火墻準(zhǔn)許的訪問端口對該服務(wù)器的漏洞進(jìn)行攻擊����,防火墻不能防止。
7��、防火墻不能防止受病毒感染的文件的傳輸��。防火墻本身并不具備查殺病毒的功能�����,即使集成了第三方的防病毒的軟件����,也沒有一種軟件可以查殺所有的病毒����。
8���、防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。當(dāng)有些表面看來無害的數(shù)據(jù)郵寄或拷貝到內(nèi)部網(wǎng)的主機(jī)上并被執(zhí)行時��,可能會發(fā)生數(shù)據(jù)驅(qū)動式的攻擊����。
9、防火墻不能防止內(nèi)部的泄密行為�����。防火墻內(nèi)部的一個合法用戶主動泄密����,防火墻是無能為力的。
10���、防火墻不能防止本身的安全漏洞的威脅�����。防火墻保護(hù)別人有時卻無法保護(hù)自己�����,目前還沒有廠商絕對保證防火墻不會存在安全漏洞�����。因此對防火墻也必須提供某種安全保護(hù)����。
二、防火墻的脆弱性
1���、防火墻的操作系統(tǒng)不能保證沒有漏洞��。目前還沒有一家防火墻廠商說�,其防火墻沒有操作系統(tǒng)�����。有操作系統(tǒng)就不能絕對保證沒有安全漏洞���。
2、防火墻的硬件不能保證不失效�����。所有的硬件都有一個生命周期,都會老化����,總有失效的一天。
3���、防火墻軟件不能保證沒有漏洞�����。防火墻軟件也是軟件�,是軟件就會有漏洞��。
4���、防火墻無法解決TCP/IP等協(xié)議的漏洞����。防火墻本身就是基于TCP/IP等協(xié)議來實(shí)現(xiàn)的�,就無法解決TCP/IP操作的漏洞。
5、防火墻無法區(qū)分惡意命令還是善意命令����。有很多命令對管理員而言,是一項合法命令��,而在黑客手里就可能是一個危險的命令��。
6��、防火墻無法區(qū)分惡意流量和善意流量�。一個用戶使用PING命令,用作網(wǎng)絡(luò)診斷和網(wǎng)絡(luò)攻擊��,從流量上是沒有差異的��。
7���、防火墻的安全性與多功能成反比���。多功能與防火墻的安全原則是背道而馳的。因此���,除非確信需要某些功能�����,否則�����,應(yīng)該功能最小化��。
8�、防火墻的安全性和速度成反比�����。防火墻的安全性是建立在對數(shù)據(jù)的檢查之上����,檢查越細(xì)越安全,但檢查越細(xì)速度越慢����。
9、防火墻的多功能與速度成反比�。防火墻的功能越多,對CPU和內(nèi)存的消耗越大��,功能越多,檢查的越多��,速度越慢����。
10、防火墻無法保證準(zhǔn)許服務(wù)的安全性���。防火墻準(zhǔn)許某項服務(wù)�����,卻不能保證該服務(wù)的安全性�。準(zhǔn)許服務(wù)的安全性問題必須由應(yīng)用安全來解決��。
在計算機(jī)網(wǎng)絡(luò)日益普及的今天��,市場需要新一代防火墻來改變目前的不安全局面�。新一代的防火墻,應(yīng)該定位于解決以下問題:1����、協(xié)議的安全性問題;2�����、病毒產(chǎn)生的攻擊的問題;3�、可信與不可信的問題;4����、防火墻自身的安全性問題等���。
隨著網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展����,像物理隔離網(wǎng)閘(GAP)�、防泄密系統(tǒng)、防病毒網(wǎng)關(guān)�、抗攻擊網(wǎng)關(guān)、入侵檢測防御(IDP)等技術(shù)�,大大彌補(bǔ)了防火墻技術(shù)的不足,從而構(gòu)成了更加安全的網(wǎng)絡(luò)防御體系���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
