防火墻有哪些不足之處

防火墻有哪些不足之處

問題一：防火墻技術(shù)有哪些不足之處 1、無法檢測加密的Web流量。 2、普通應用程序加密后，也能輕易躲過防火墻的檢測。

3、對于Web應用程序，防范能力不足。

由于體系結(jié)構(gòu)的原因，即使是***的**防火墻，在防范Web應用程序時，由于無法全面控制**、應用程序和數(shù)據(jù)流，也無法截獲應用層的攻擊。由于對于整體的應用數(shù)據(jù)流，缺乏完整的、基于會話(Session)級別的監(jiān)控能力，因此很難預防新的未知的攻擊。 問題二：防火墻的優(yōu)點,缺點,功能 防火墻的功能 防火墻是**安全的屏障： 一個防火墻（作為阻塞點、控制點）能極大地提高一個內(nèi)部**的安全性，并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議龔能通過防火墻，所以**環(huán)境變得更安全。

如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護**，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部**。防火墻同時可以保護**免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

防火墻可以強化**安全策略： 通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將**安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。例如在**訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻一身上。

對**存取和訪問進行監(jiān)控審計： 如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供**使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶⑻峁?*是否受到監(jiān)測和攻擊的詳細信息。另外，收集一個**的使用和誤用情況也是非常重要的。

首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而**使用統(tǒng)計對**需求分析和威脅分析等而言也是非常重要的。 防止內(nèi)部信息的外泄： 通過利用防火墻對內(nèi)部**的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感**安全問題對全局**造成的影響。再者，隱私是內(nèi)部**非常關(guān)心的問題，一個內(nèi)部**中不引人注意的細節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部**的某些安全漏洞。

使用防火墻就可以隱蔽那些透漏內(nèi)部細節(jié)如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，**登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。

防火墻可以同樣阻塞有關(guān)內(nèi)部**中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。 除了安全作用百科，防火墻還支持具有Internet服務特性的企業(yè)內(nèi)部**技術(shù)體系VPN。通過VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機地聯(lián)成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。

問題三：國內(nèi)常見的防火墻產(chǎn)品部署方式、特點、不足都有那些？ 其實普通的防火墻沒有太多好說的。 windows自帶的防火墻在攔截方面不行，記得我有次點阻止迅雷下載，但一點效果沒有，所以不推薦使用。 ZA 防火墻在世界數(shù)一數(shù)二，但語言界面不好操作，反木馬功能用處不大，需要配合殺軟使用。

特點觸度快。 OP防火墻也是很不錯的，但是對系統(tǒng)兼容有點不好，系統(tǒng)自身有個撥號進程經(jīng)常彈出，我用了3年還是弄的頭疼萬分。特點功能強大，在受到攻擊保護方面比較墻。

特但容易上手，有終身免費的授權(quán)可以用。 強大的系統(tǒng)防火墻EQ，和毛豆都不錯，但是不擅長玩規(guī)則策略的朋友入手比較困難。特點是在熟悉規(guī)則的人手上異常強大，完全掌控電腦**權(quán)限，設置規(guī)則后速度快。 卡巴2009安**裝的防火墻也比較強大，屬HIPS，但對**攔截的界面操作讓人摸不著頭腦。

一般使用默認設置。特點是新手入門容易，不怎么操心。 問題四：防火墻的主要功能是什么？ 防止某些**或者木馬，保護系統(tǒng)不被入侵 問題五：防火墻的作用是什么，防火墻的主要功能作用介紹 一、防火墻的作用是什么？ 1.包過濾 具備包過濾的就是防火墻？對，沒錯！根據(jù)對防火墻的定義，凡是能有效阻止**非法連接的方式，都算防火墻。

早期的防火墻一般就是利用設置的條件，監(jiān)測通過的包的特征來決定放行或者阻止的，包過濾是很重要的一種特性。雖然防火墻技術(shù)發(fā)展到現(xiàn)在有了很多新的理念提出，但是包過濾依然是非常重要的一環(huán)，如同四層交換機首要的仍是要具備包的快速轉(zhuǎn)發(fā)這樣一個交換機的基本功能一樣。通過包過濾，防火墻可以實現(xiàn)阻擋攻擊，禁止外部/內(nèi)部訪問某些站點，限制每個ip的流量和連接數(shù)。2.包的透明轉(zhuǎn)發(fā) 事實上，由于防火墻一般架設在提供某些服務的服務器前。

如果用示意圖來表示就是 Server―FireWall―Guest 。用戶對服務器的訪問的請求與服務器反饋給用戶的信息，都需要經(jīng)過防火墻的轉(zhuǎn)發(fā),因此，很多防火墻具備**的能力。3.阻擋外部攻擊 如果用戶發(fā)送的信息是防火墻設置所不允許的，防火墻會立即將其阻斷，避免其進入防火墻之后的服務器中。

4.記錄攻擊 如果有必要，其實防火墻是完全可以將攻擊行為都記錄下來的，但是由于出于效率上的考慮，目前一般記錄攻擊的事情都交給IDS來完成了，我們在后面會提到。以上是所有防火墻都具備的基本特性，雖然很簡單，但防火墻技術(shù)就是在此基礎上逐步發(fā)展起來的。二、防火墻有哪些缺點和不足？ 1.防火墻可以阻斷攻擊，但不能消滅。

如果一個**系統(tǒng)中,只安裝了防火墻系統(tǒng)作為安全工具,會有什么樣的安全隱患？

一個防火墻在一個被認為是安全和可信的內(nèi)部**和一個被認為是不那么安全和可信的外部**(通常是Internet)之間提供一個封鎖工具。 如果沒有防火墻，則整個內(nèi)部**的安全性完全依賴于每個主機，因此，所有的主機都必須達到一致的高度安全水平，這在實際操作時非常困難。

而防火墻被設計為只運行專用的訪問控制軟件的設備，沒有其他的服務，因此也就意味著相對少一些缺陷和安全漏洞，這就使得安全管理變得更為方便，易于控制，也會使內(nèi)部**更加安全。

防火墻所遵循的原則是在保證**暢通的情況下，盡可能保證內(nèi)部**的安全。它是一種被動的技術(shù)，是一種靜態(tài)安全部件。

擴展資料
通過利用防火墻對內(nèi)部**的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感**安全問題對全局**造成的影響。再者，隱私是內(nèi)部**非常關(guān)心的問題，一個內(nèi)部**中不引人注意的細節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部**的某些安全漏洞。

使用防火墻就可以隱蔽那些透漏內(nèi)部細節(jié)如Finger，DNS等服務。
Finger顯示了主機的所有用戶的注冊名、真名，**登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。

攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部**中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。除了安全作用，防火墻還支持具有Internet服務性的企業(yè)內(nèi)部**技術(shù)體系VPN（虛擬專用網(wǎng)）。

防火墻可以同樣阻塞有關(guān)內(nèi)部**中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。除了安全作用，防火墻還支持具有Internet服務性的企業(yè)內(nèi)部**技術(shù)體系VPN（虛擬專用網(wǎng)）。

防火墻有哪些局限性

防火墻有十大局限性：一、防火墻不能防范不經(jīng)過防火墻的攻擊。沒有經(jīng)過防火墻的數(shù)據(jù)，防火墻無法檢查。

二、防火墻不能解決來自內(nèi)部**的攻擊和安全問題。

防火墻可以設計為既防外也防內(nèi)，誰都不可信，但絕大多數(shù)單位因為不方便，不要求防火墻防內(nèi)。三、防火墻不能防止策略配置不當或錯誤配置引起的安全威脅。防火墻是一個被動的安全策略執(zhí)行設備，就像門衛(wèi)一樣，要根據(jù)政策規(guī)定來執(zhí)行安全，而不能自作主張。四、防火墻不能防止可接觸的人為或自然的破壞。

防火墻是一個安全設備，但防火墻本身必須存在于一個安全的地方。五、防火墻不能防止利用標準**協(xié)議中的缺陷進行的攻擊。一旦防火墻準許某些標準**協(xié)議，防火墻不能防止利用該協(xié)議中的缺陷進行的攻擊。

六、防火墻不能防止利用服務器系統(tǒng)漏洞所進行的攻擊。黑客通過防火墻準許的訪問端口對該服務器的漏洞進行攻擊，防火墻不能防止。七、防火墻不能防止受**感染的文件的傳輸。

防火墻本身并不具備查殺**的功能，即使集成了第三方的防**的軟件，也沒有一種軟件可以查殺所有的**。八、防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。當有些表面看來無害的數(shù)據(jù)郵寄或拷貝到內(nèi)部網(wǎng)的主機上并被執(zhí)行時，可能會發(fā)生數(shù)據(jù)驅(qū)動式的攻擊。

九、防火墻不能防止內(nèi)部的泄密行為。防火墻內(nèi)部的一個合法用戶主動泄密，防火墻是無能為力的。十、防火墻不能防止本身的安全漏洞的威脅。防火墻保護別人有時卻無法保護自己，目前還沒有廠商**保證防火墻不會存在安全漏洞。

因此對防火墻也必須提供某種安全保護。

安全策略集中在防火墻的行為會給**帶來哪些安全隱患

現(xiàn)在防火墻只算一個**設備，算不上安全設備了，因為防火墻一般只在二，三，四層對數(shù)據(jù)包進行過濾，無法識別到七層的信息，也就是說**或木馬之類的它是檢測不到的，一般的沒有針對性的**攻擊是可以擋住，但主要的安全威脅還是來自于應用層，例如密碼破解，數(shù)據(jù)庫注入，緩沖區(qū)溢出等等，能帶來的安全隱患很多，另外只用防火墻做為安全屏障也沒有防御縱深，也就是說如果惡意用戶如果利用某一品牌防火墻的漏洞滲透進入到了內(nèi)網(wǎng)，那么內(nèi)網(wǎng)所有的敏感數(shù)據(jù)將直接暴露出來，除了在**的最外端使用防火墻以外，還應該有入侵檢測設備，例如JUNIPER IDP，在惡意用戶入侵時就可以發(fā)現(xiàn)并阻止，內(nèi)網(wǎng)還應該分區(qū)分權(quán)，根據(jù)權(quán)限最小化的原則分配策略，內(nèi)網(wǎng)的敏感數(shù)據(jù)不能明文存放，要加密以后用密文存放，另外對外提供服務時應該采用授權(quán)，例如使用CA的認證令牌，全寫出來要寫本書了。