防火墻有哪些不足之處

防火墻有哪些不足之處

問題一：防火墻技術(shù)有哪些不足之處 1、無法檢測(cè)加密的Web流量。 2、普通應(yīng)用程序加密后，也能輕易躲過防火墻的檢測(cè)。

3、對(duì)于Web應(yīng)用程序，防范能力不足。

由于體系結(jié)構(gòu)的原因，即使是***的**防火墻，在防范Web應(yīng)用程序時(shí)，由于無法全面控制**、應(yīng)用程序和數(shù)據(jù)流，也無法截獲應(yīng)用層的攻擊。由于對(duì)于整體的應(yīng)用數(shù)據(jù)流，缺乏完整的、基于會(huì)話(Session)級(jí)別的監(jiān)控能力，因此很難預(yù)防新的未知的攻擊。 問題二：防火墻的優(yōu)點(diǎn),缺點(diǎn),功能 防火墻的功能 防火墻是**安全的屏障： 一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部**的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議龔能通過防火墻，所以**環(huán)境變得更安全。

如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)**，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部**。防火墻同時(shí)可以保護(hù)**免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。

防火墻可以強(qiáng)化**安全策略： 通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將**安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在**訪問時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。

對(duì)**存取和訪問進(jìn)行監(jiān)控審計(jì)： 如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時(shí)也能提供**使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供**是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)**的使用和誤用情況也是非常重要的。

首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。而**使用統(tǒng)計(jì)對(duì)**需求分析和威脅分析等而言也是非常重要的。 防止內(nèi)部信息的外泄： 通過利用防火墻對(duì)內(nèi)部**的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感**安全問題對(duì)全局**造成的影響。再者，隱私是內(nèi)部**非常關(guān)心的問題，一個(gè)內(nèi)部**中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部**的某些安全漏洞。

使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。Finger顯示了主機(jī)的所有用戶的注冊(cè)名、真名，**登錄時(shí)間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。

防火墻可以同樣阻塞有關(guān)內(nèi)部**中的DNS信息，這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。 除了安全作用百科，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部**技術(shù)體系VPN。通過VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個(gè)整體。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。

問題三：國內(nèi)常見的防火墻產(chǎn)品部署方式、特點(diǎn)、不足都有那些？ 其實(shí)普通的防火墻沒有太多好說的。 windows自帶的防火墻在攔截方面不行，記得我有次點(diǎn)阻止迅雷下載，但一點(diǎn)效果沒有，所以不推薦使用。 ZA 防火墻在世界數(shù)一數(shù)二，但語言界面不好操作，反木馬功能用處不大，需要配合殺軟使用。

特點(diǎn)觸度快。 OP防火墻也是很不錯(cuò)的，但是對(duì)系統(tǒng)兼容有點(diǎn)不好，系統(tǒng)自身有個(gè)撥號(hào)進(jìn)程經(jīng)常彈出，我用了3年還是弄的頭疼萬分。特點(diǎn)功能強(qiáng)大，在受到攻擊保護(hù)方面比較墻。

特但容易上手，有終身免費(fèi)的授權(quán)可以用。 強(qiáng)大的系統(tǒng)防火墻EQ，和毛豆都不錯(cuò)，但是不擅長(zhǎng)玩規(guī)則策略的朋友入手比較困難。特點(diǎn)是在熟悉規(guī)則的人手上異常強(qiáng)大，完全掌控電腦**權(quán)限，設(shè)置規(guī)則后速度快。 卡巴2009安**裝的防火墻也比較強(qiáng)大，屬HIPS，但對(duì)**攔截的界面操作讓人摸不著頭腦。

一般使用默認(rèn)設(shè)置。特點(diǎn)是新手入門容易，不怎么操心。 問題四：防火墻的主要功能是什么？ 防止某些**或者木馬，保護(hù)系統(tǒng)不被入侵 問題五：防火墻的作用是什么，防火墻的主要功能作用介紹 一、防火墻的作用是什么？ 1.包過濾 具備包過濾的就是防火墻？對(duì)，沒錯(cuò)！根據(jù)對(duì)防火墻的定義，凡是能有效阻止**非法連接的方式，都算防火墻。

早期的防火墻一般就是利用設(shè)置的條件，監(jiān)測(cè)通過的包的特征來決定放行或者阻止的，包過濾是很重要的一種特性。雖然防火墻技術(shù)發(fā)展到現(xiàn)在有了很多新的理念提出，但是包過濾依然是非常重要的一環(huán)，如同四層交換機(jī)首要的仍是要具備包的快速轉(zhuǎn)發(fā)這樣一個(gè)交換機(jī)的基本功能一樣。通過包過濾，防火墻可以實(shí)現(xiàn)阻擋攻擊，禁止外部/內(nèi)部訪問某些站點(diǎn)，限制每個(gè)ip的流量和連接數(shù)。2.包的透明轉(zhuǎn)發(fā) 事實(shí)上，由于防火墻一般架設(shè)在提供某些服務(wù)的服務(wù)器前。

如果用示意圖來表示就是 Server―FireWall―Guest 。用戶對(duì)服務(wù)器的訪問的請(qǐng)求與服務(wù)器反饋給用戶的信息，都需要經(jīng)過防火墻的轉(zhuǎn)發(fā),因此，很多防火墻具備**的能力。3.阻擋外部攻擊 如果用戶發(fā)送的信息是防火墻設(shè)置所不允許的，防火墻會(huì)立即將其阻斷，避免其進(jìn)入防火墻之后的服務(wù)器中。

4.記錄攻擊 如果有必要，其實(shí)防火墻是完全可以將攻擊行為都記錄下來的，但是由于出于效率上的考慮，目前一般記錄攻擊的事情都交給IDS來完成了，我們?cè)诤竺鏁?huì)提到。以上是所有防火墻都具備的基本特性，雖然很簡(jiǎn)單，但防火墻技術(shù)就是在此基礎(chǔ)上逐步發(fā)展起來的。二、防火墻有哪些缺點(diǎn)和不足？ 1.防火墻可以阻斷攻擊，但不能消滅。

如果一個(gè)**系統(tǒng)中,只安裝了防火墻系統(tǒng)作為安全工具,會(huì)有什么樣的安全隱患？

一個(gè)防火墻在一個(gè)被認(rèn)為是安全和可信的內(nèi)部**和一個(gè)被認(rèn)為是不那么安全和可信的外部**(通常是Internet)之間提供一個(gè)封鎖工具。 如果沒有防火墻，則整個(gè)內(nèi)部**的安全性完全依賴于每個(gè)主機(jī)，因此，所有的主機(jī)都必須達(dá)到一致的高度安全水平，這在實(shí)際操作時(shí)非常困難。

而防火墻被設(shè)計(jì)為只運(yùn)行專用的訪問控制軟件的設(shè)備，沒有其他的服務(wù)，因此也就意味著相對(duì)少一些缺陷和安全漏洞，這就使得安全管理變得更為方便，易于控制，也會(huì)使內(nèi)部**更加安全。

防火墻所遵循的原則是在保證**暢通的情況下，盡可能保證內(nèi)部**的安全。它是一種被動(dòng)的技術(shù)，是一種靜態(tài)安全部件。

擴(kuò)展資料
通過利用防火墻對(duì)內(nèi)部**的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感**安全問題對(duì)全局**造成的影響。再者，隱私是內(nèi)部**非常關(guān)心的問題，一個(gè)內(nèi)部**中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部**的某些安全漏洞。

使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。
Finger顯示了主機(jī)的所有用戶的注冊(cè)名、真名，**登錄時(shí)間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。

攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部**中的DNS信息，這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。除了安全作用，防火墻還支持具有Internet服務(wù)性的企業(yè)內(nèi)部**技術(shù)體系VPN（虛擬專用網(wǎng)）。

防火墻可以同樣阻塞有關(guān)內(nèi)部**中的DNS信息，這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。除了安全作用，防火墻還支持具有Internet服務(wù)性的企業(yè)內(nèi)部**技術(shù)體系VPN（虛擬專用網(wǎng)）。

防火墻有哪些局限性

防火墻有十大局限性：一、防火墻不能防范不經(jīng)過防火墻的攻擊。沒有經(jīng)過防火墻的數(shù)據(jù)，防火墻無法檢查。

二、防火墻不能解決來自內(nèi)部**的攻擊和安全問題。

防火墻可以設(shè)計(jì)為既防外也防內(nèi)，誰都不可信，但絕大多數(shù)單位因?yàn)椴环奖?，不要求防火墻防?nèi)。三、防火墻不能防止策略配置不當(dāng)或錯(cuò)誤配置引起的安全威脅。防火墻是一個(gè)被動(dòng)的安全策略執(zhí)行設(shè)備，就像門衛(wèi)一樣，要根據(jù)政策規(guī)定來執(zhí)行安全，而不能自作主張。四、防火墻不能防止可接觸的人為或自然的破壞。

防火墻是一個(gè)安全設(shè)備，但防火墻本身必須存在于一個(gè)安全的地方。五、防火墻不能防止利用標(biāo)準(zhǔn)**協(xié)議中的缺陷進(jìn)行的攻擊。一旦防火墻準(zhǔn)許某些標(biāo)準(zhǔn)**協(xié)議，防火墻不能防止利用該協(xié)議中的缺陷進(jìn)行的攻擊。

六、防火墻不能防止利用服務(wù)器系統(tǒng)漏洞所進(jìn)行的攻擊。黑客通過防火墻準(zhǔn)許的訪問端口對(duì)該服務(wù)器的漏洞進(jìn)行攻擊，防火墻不能防止。七、防火墻不能防止受**感染的文件的傳輸。

防火墻本身并不具備查殺**的功能，即使集成了第三方的防**的軟件，也沒有一種軟件可以查殺所有的**。八、防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。當(dāng)有些表面看來無害的數(shù)據(jù)郵寄或拷貝到內(nèi)部網(wǎng)的主機(jī)上并被執(zhí)行時(shí)，可能會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)式的攻擊。

九、防火墻不能防止內(nèi)部的泄密行為。防火墻內(nèi)部的一個(gè)合法用戶主動(dòng)泄密，防火墻是無能為力的。十、防火墻不能防止本身的安全漏洞的威脅。防火墻保護(hù)別人有時(shí)卻無法保護(hù)自己，目前還沒有廠商**保證防火墻不會(huì)存在安全漏洞。

因此對(duì)防火墻也必須提供某種安全保護(hù)。

安全策略集中在防火墻的行為會(huì)給**帶來哪些安全隱患

現(xiàn)在防火墻只算一個(gè)**設(shè)備，算不上安全設(shè)備了，因?yàn)榉阑饓σ话阒辉诙?，四層?duì)數(shù)據(jù)包進(jìn)行過濾，無法識(shí)別到七層的信息，也就是說**或木馬之類的它是檢測(cè)不到的，一般的沒有針對(duì)性的**攻擊是可以擋住，但主要的安全威脅還是來自于應(yīng)用層，例如密碼破解，數(shù)據(jù)庫注入，緩沖區(qū)溢出等等，能帶來的安全隱患很多，另外只用防火墻做為安全屏障也沒有防御縱深，也就是說如果惡意用戶如果利用某一品牌防火墻的漏洞滲透進(jìn)入到了內(nèi)網(wǎng)，那么內(nèi)網(wǎng)所有的敏感數(shù)據(jù)將直接暴露出來，除了在**的最外端使用防火墻以外，還應(yīng)該有入侵檢測(cè)設(shè)備，例如JUNIPER IDP，在惡意用戶入侵時(shí)就可以發(fā)現(xiàn)并阻止，內(nèi)網(wǎng)還應(yīng)該分區(qū)分權(quán)，根據(jù)權(quán)限最小化的原則分配策略，內(nèi)網(wǎng)的敏感數(shù)據(jù)不能明文存放，要加密以后用密文存放，另外對(duì)外提供服務(wù)時(shí)應(yīng)該采用授權(quán)，例如使用CA的認(rèn)證令牌，全寫出來要寫本書了。