防火墙的作用和局限_防火墙的作用和局限性

2024-05-09 03:01:58

下面将有我来为大家聊一聊防火墙的作用和局限的问题，希望这个问题可以为您解答您的疑问，关于防火墙的作用和局限的问题我们就开始来说说。

1.防火墙是什么?有什么作用?

2.防火墙有哪些不足之处

3.防火墙能保护数据传输过程中的安全吗，为什么

4.防火墙主要技术的局限性

防火墙的作用和局限_防火墙的作用和局限性

防火墙是什么?有什么作用?

防火墙的作用是：

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

防火墙有哪些不足之处

黑客之所以能够攻击用户，都是利用了防火墙开放的端口，躲过防火墙的监测，直接针对目标应用程序。他们想出复杂的攻击方法，能够绕过传统防火墙。据统计，目前70%的攻击是发生在应用层，而不是网络层。对于这类攻击，传统防火墙的防护效果，并不太理想，存在着以下不足之处：

1、无法检测加密的Web流量

如果你正在部署一个门户网站，希望所有的网络层和应用层的漏洞都被屏蔽在应用程序之外。这个需求，对于传统的网络防火墙而言，是个大问题。

由于网络防火墙对于加密的SSL流中的数据是不可见的，防火墙无法迅速截获SSL数据流并对其解密，因此无法阻止应用程序的攻击，甚至有些网络防火墙，根本就不提供数据解密的功能。

2、普通应用程序加密后，也能轻易躲过防火墙的检测

网络防火墙无法看到的，不仅仅是SSL加密的数据。对于应用程序加密的数据，同样也不可见。在如今大多数网络防火墙中，依赖的是静态的特征库，与入侵监测系统(IDS，Intrusion Detect System)的原理类似。只有当应用层攻击行为的特征与防火墙中的数据库中已有的特征完全匹配时，防火墙才能识别和截获攻击数据。

但如今，采用常见的编码技术，就能够地将恶意代码和其他攻击命令隐藏起来，转换成某种形式，既能欺骗前端的网络安全系统，又能够在后台服务器中执行。这种加密后的攻击代码，只要与防火墙规则库中的规则不一样，就能够躲过网络防火墙，成功避开特征匹配。

3、对于Web应用程序，防范能力不足

网络防火墙于1990年发明，而商用的Web服务器，则在一年以后才面世。基于状态检测的防火墙，其设计原理，是基于网络层TCP和IP地址，来设置与加强状态访问控制列表(ACLs，Access Control Lists)。在这一方面，网络防火墙表现确实十分出色。

近年来，实际应用过程中，HTTP是主要的传输协议。主流的平台供应商和大的应用程序供应商，均已转移到基于Web的体系结构，安全防护的目标，不再只是重要的业务数据。网络防火墙的防护范围，发生了变化。

对于常规的企业局域网的防范，通用的网络防火墙仍占有很高的市场份额，继续发挥重要作用，但对于新近出现的上层协议，如XML和SOAP等应用的防范，网络防火墙就显得有些力不从心。

由于体系结构的原因，即使是最先进的网络防火墙，在防范Web应用程序时，由于无法全面控制网络、应用程序和数据流，也无法截获应用层的攻击。由于对于整体的应用数据流，缺乏完整的、基于会话(Session)级别的监控能力，因此很难预防新的未知的攻击。

4、应用防护特性，只适用于简单情况

目前的数据中心服务器，时常会发生变动，比如:

(1)、定期需要部署新的应用程序;

(2)、经常需要增加或更新软件模块;

(3)、QA们经常会发现代码中的bug，已部署的系统需要定期打补丁。

在这样动态复杂的环境中，安全专家们需要采用灵活的、粗粒度的方法，实施有效的防护策略。

虽然一些先进的网络防火墙供应商，提出了应用防护的特性，但只适用于简单的环境中。细看就会发现，对于实际的企业应用来说，这些特征存在着局限性。在多数情况下，弹性概念(proof-of-concept)的特征无法应用于现实生活中的数据中心上。

比如，有些防火墙供应商，曾经声称能够阻止缓存溢出:当黑客在浏览器的URL中输入太长数据，试图使后台服务崩溃或使试图非法访问的时候，网络防火墙能够检测并制止这种情况。

细看就会发现，这些供应商采用对80端口数据流中，针对URL长度进行控制的方法，来实现这个功能的。

如果使用这个规则，将对所有的应用程序生效。如果一个程序或者是一个简单的Web网页，确实需要涉及到很长的URL时，就要屏蔽该规则。

网络防火墙的体系结构，决定了网络防火墙是针对网络端口和网络层进行操作的，因此很难对应用层进行防护，除非是一些很简单的应用程序。

5、无法扩展带深度检测功能

基于状态检测的网络防火墙，如果希望只扩展深度检测(deep inspection)功能，而没有相应增加网络性能，这是不行的。

防火墙能保护数据传输过程中的安全吗，为什么

问题一：防火墙技术有哪些不足之处 1、无法检测加密的Web流量。

2、普通应用程序加密后，也能轻易躲过防火墙的检测。

3、对于Web应用程序，防范能力不足。

问题二：防火墙的优点,缺点,功能防火墙的功能

防火墙是网络安全的屏障：

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议龚能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

防火墙可以强化网络安全策略：

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

对网络存取和访问进行监控审计：

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

防止内部信息的外泄：

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系***。通过***，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。

问题三：国内常见的防火墙产品部署方式、特点、不足都有那些？其实普通的防火墙没有太多好说的。

windows自带的防火墙在拦截方面不行，记得我有次点阻止迅雷下载，但一点效果没有，所以不推荐使用。

ZA 防火墙在世界数一数二，但语言界面不好操作，反木马功能用处不大，需要配合杀软使用。特点触度快。

OP防火墙也是很不错的，但是对系统兼容有点不好，系统自身有个拨号进程经常弹出，我用了3年还是弄的头疼万分。特点功能强大，在受到攻击保护方面比较墙。特但容易上手，有终身免费的授权可以用。

强大的系统防火墙EQ，和毛豆都不错，但是不擅长玩规则策略的朋友入手比较困难。特点是在熟悉规则的人手上异常强大，完全掌控电脑最高权限，设置规则后速度快。

卡巴2009安全套装的防火墙也比较强大，属HIPS，但对网络拦截的界面操作让人摸不着头脑。一般使用默认设置。特点是新手入门容易，不怎么操心。

问题四：防火墙的主要功能是什么？防止某些病毒或者木马，保护系统不被入侵

问题五：防火墙的作用是什么，防火墙的主要功能作用介绍一、防火墙的作用是什么？ 1.包过滤具备包过滤的就是防火墙？对，没错！根据对防火墙的定义，凡是能有效阻止网络非法连接的方式，都算防火墙。早期的防火墙一般就是利用设置的条件，监测通过的包的特征来决定放行或者阻止的，包过滤是很重要的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出，但是包过滤依然是非常重要的一环，如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。通过包过滤，防火墙可以实现阻挡攻击，禁止外部/内部访问某些站点，限制每个ip的流量和连接数。2.包的透明转发事实上，由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是 Server―FireWall―Guest 。用户对服务器的访问的请求与服务器反馈给用户的信息，都需要经过防火墙的转发,因此，很多防火墙具备网关的能力。3.阻挡外部攻击如果用户发送的信息是防火墙设置所不允许的，防火墙会立即将其阻断，避免其进入防火墙之后的服务器中。4.记录攻击如果有必要，其实防火墙是完全可以将攻击行为都记录下来的，但是由于出于效率上的考虑，目前一般记录攻击的事情都交给IDS来完成了，我们在后面会提到。以上是所有防火墙都具备的基本特性，虽然很简单，但防火墙技术就是在此基础上逐步发展起来的。二、防火墙有哪些缺点和不足？ 1.防火墙可以阻断攻击，但不能消灭攻击源。“各扫自家门前雪，不管他人瓦上霜”，就是目前网络安全的现状。互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡他们，但是无法清除攻击源。即使防火墙进行了良好的设置，使得攻击无法穿透防火墙，但各种攻击仍然会源源不断地向防火墙发出尝试。例如接主干网10M网络带宽的某站点，其日常流量中平均有512K左右是攻击行为。那么，即使成功设置了防火墙后，这512K的攻击流量依然不会有丝毫减少。2.防火墙不能抵抗最新的未设置策略的攻击漏洞就如杀毒软件与病毒一样，总是先出现病毒，杀毒软件经过分析出特征码后加入到病毒库内才能查杀。防火墙的各种策略，也是在该攻击方式经过专家分析后给出其特征进而设置的。如果世界上新发现某个主机漏洞的cracker的把第一个攻击对象选中了您的网络，那么防火墙也没有办法帮到您的。3.防火墙的并发连接数限制容易导致拥塞或者溢出由于要判断、处理流经防火墙的每一个包，因此防火墙在某些流量大、并发请求多的情况下，很容易导致拥塞，成为整个网络的瓶颈影响性能。而当防火墙溢出的时候，整个防线就如同虚设，原本被禁止的连接也能从容通过了。4.防火墙对服务器合法开放的端口的攻击大多无法阻止某些情况下，攻击者利用服务器提供的服务进行缺陷攻击。例如利用开放了3389端口取得没打过sp补丁的win2k的超级权限、利用asp程序进行脚本攻击等。由于其行为在防火墙一级看来是“合理”和“合法”的，因此就被简单地放行了。5.防火墙对待内部主动发起连接的攻击一般无法阻止“外紧内松”是一般局域网络的特点。或许一道严密防守的防火墙内部的网络是一片混乱也有可能。通过社会工程学发送带木马的邮件、带木马的URL等方式，然后由中木马的机器主动对攻击者连接，将铁壁一样的防火墙瞬间破坏掉。另外，防火墙内部各主机间的攻击行为，防火墙也只有如旁观者一样冷视而爱莫能助。6．防火墙本身也会出现问题和受到攻击防火墙也是一个os，也有着其硬件系统和软件，因此依然有着漏洞和bug。所以其本身也可能受到攻击和出现软/硬件方面的故障。7．防火墙不处理病毒不管是funlove病毒也好，还是CIH也好。在内部网络......>>

问题六：关于木马和防火墙的问题你下载东西的时候才有可能被挂马。像外挂等软件被捆马了。其实木马都是混水摸鱼到你电脑的。只要不乱下东西就没问题的。

问题七：以下内容中,不是防火墙功能的是( )。 B

问题八：推荐一个防火墙啊没有绝对完美的杀毒软件,杀毒性能上是国外的梢好些!稳定上国内的好!最近经常有网友发消息问我，到底哪个哪个杀毒软件最厉害，哪个杀毒软件售价最高？呵呵，诸如此类的问题老实说我也无法做出肯定的答复。我就随便谈一些我个人的见解。世界上公认的比较著名的杀毒软件有卡巴斯基，F-SECURE，MACFEE，诺顿，趋势科技，熊猫，NOD32，AVG，F-PORT等等。其中卡巴，macfee，诺顿又被誉为世界三大杀毒软件！每个杀毒软件都有自身的优势，当然也有不足之处！

比如卡巴斯基的杀毒能力确实很强，对的起排名世界第一的称号，但是监控方面却存在不足，而且在内存占用方面始终令人头疼。Macfee的系统监控恰恰是做的最好的。NOD32的扫毒速度最快，内存占用方面最少，全球获奖无数，因而成为微软御用4年的杀毒软件也绝非空穴来风。熊猫可能大家以为是中国的，其实也是洋货啦，杀毒理念和模块最先进，可惜老是提示你要重新激活，所以破解的不大完美！诺顿大家很熟悉，老实说诺顿的广告宣传还真是不错的，但是大家注意，别看广告，看疗效！当诺顿屡次告诉你XX病毒被隔离，无法清除时，你是否感到厌倦了呢？当然诺顿企业版要比个人版本的杀毒能力更强悍，建议大家使用9.0的，最新10.0占用资源有点大，不算完美。F-SECURE可能知道的人很少，别说用的人了，呵呵。我自己现在用的杀软就是这款，其实这款杀毒软件名气是相当响的。来自芬兰的杀毒软件， *** AVP,LIBRA,ORION,DRACO四套杀毒引擎,其中一个就是Kaspersky的杀毒内核，而且青出于蓝胜于蓝，个人感觉杀毒效率比Kaspersky要好，对网络流行病毒尤其有效。在《PC Utilites》评测中超过Kaspersky名列第一。该软件采用分布式防火墙技术。f-secure 曾经超过Kaspersky，排名第一，但后来Kaspersky增加了扩展病毒库，反超f-secure 。鉴于普通用户用不到扩展病毒库，因此f-secure还是普通用户很不错的一个选择。所以我用下来的感觉就是F-SECURE的综合能力可以排第一名！但是这个软件也有不足，就是进程太多，要近15个进程，呵呵，谁叫它有四套杀毒引擎呢？不过也够安全吧。进程虽多，却一点不觉得卡！

在此不得不提起国产杀毒软件，国产杀毒软件也有很多用户群，个性化的界面也赢得了很多用户的青睐。比如瑞星的那个小狮子就蛮可爱的，做个桌面宠物也不错。但是有很多人会说，国产的技术不行，靠不住的。呵呵，其实我倒不这么认为！国产杀毒软件我最喜欢的就是KV2005，江民的东西还是老牌子，杀毒监控实力不俗。瑞星和金山的起步晚一些，有些地方做的还是不够理想，但毕竟是在不断进步，希望能越做越好，给中国人也争光一把，哈哈。也许有人会说实际的杀毒能力说明一切，金山，瑞星和卡巴比就是垃圾等等。呵呵，那你就错了，如果说卡巴能杀掉这个病毒，金山杀不掉，就说明卡巴强于金山？反过来金山能杀掉这个病毒，卡巴无法槌鲈趺此悖拷鹕角坑诳ò停亢芗虻ザ钜桓隼子，大家可以去网上下载一?005年病毒测试包样本，是个压缩包文件，里面大概有26个病毒样本，试试你的杀软吧，呵呵，江民，金山，瑞星兵不血刃的杀光了所有病毒，再看看卡巴啊，这次傻了吧，所以说每个杀毒软件都有自己的长处，不能一拍子否定。

还有的朋友问我一个杀毒软件保险伐，要不要装两个来个双保险，呵呵，对于这个我觉得是可行的，但是前提是你对杀毒软件的各项设置要比较了解而且自己的电脑配置要高档点，否则不是系统容易崩溃就是电脑被两个杀毒软件拖垮的。......>>

问题九：杀毒软件和防火墙什么最好？最近经常有网友发消息问我，到底哪个哪个杀毒软件最厉害，哪个杀毒软件售价最高？呵呵，诸如此类的问题老实说我也无法做出肯定的答复。我就随便谈一些我个人的见解。世界上公认的比较著名的杀毒软件有卡巴斯基，F-SECURE，MACFEE，诺顿，趋势科技，熊猫，NOD32，AVG，F-PORT等等。其中卡巴，macfee，诺顿又被誉为世界三大杀毒软件！每个杀毒软件都有自身的优势，当然也有不足之处！

在此不得不提起国产杀毒软件，国产杀毒软件也有很多用户群，个性化的界面也赢得了很多用户的青睐。比如瑞星的那个小狮子就蛮可爱的，做个桌面宠物也不错。但是有很多人会说，国产的技术不行，靠不住的。呵呵，其实我倒不这么认为！国产杀毒软件我最喜欢的就是KV2005，江民的东西还是老牌子，杀毒监控实力不俗。瑞星和金山的起步晚一些，有些地方做的还是不够理想，但毕竟是在不断进步，希望能越做越好，给中国人也争光一把，哈哈。也许有人会说实际的杀毒能力说明一切，金山，瑞星和卡巴比就是垃圾等等。呵呵，那你就错了，如果说卡巴能杀掉这个病毒，金山杀不掉，就说明卡巴强于金山？反过来金山能杀掉这个病毒，卡巴无法槌鲈趺此悖拷鹕角坑诳ò停亢芗虻ザ钜桓隼?樱?蠹铱梢匀ネ?舷略匾桓?005年病毒测试包样本，是个压缩包文件，里面大概有26个病毒样本，试试你的杀软吧，呵呵，江民，金山，瑞星兵不血刃的杀光了所有病毒，再看看卡巴啊，这次傻了吧，所以说每个杀毒软件都有自己的长处，不能一拍子否定。

还有的朋友问我一个杀毒软件保险伐，要不要装两个来个双保险，呵呵，对于这个我觉得是可行的，但是前提是你对杀毒软件的各项设置要比较了解而且自己的电脑配置要高档点，否则不是系统容易崩溃就是电脑被两个杀毒软件拖垮的。比较典型的例子就是卡巴斯基＋KV2005的组合，很显然卡巴系统监控的不足由KV2005来弥补。卡巴只负责杀......>>

问题十：防火墙发展的四个阶段祝你考试好运!!

防火墙技术的发展

在防火墙产品的开发中，人们广泛应用网络拓扑技术、计算机操作系统技术、路由技术、加密技术、访问控制技术、安全审计技术等成熟或先进的手段，纵观防火墙产品近年内的发展，可将其分为四个阶段：

第一阶段：基于路由器的防火墙

由于多数路由器中本身就包含有分组过滤的功能，故网络访问控制功能可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。

第一代防火墙产品的特点是：

●利用路由器本身对分组的解析，以访问控制表（access list）方式实现对分组的过滤；

●过滤判决的依据可以是：地址、端口号、IP旗标及其它网络特征；

●只有分组过滤的功能，且防火墙与路由器是一体的，对安全要求低的网络采用路由器附带防火墙功能的方法，对安全性要求高的网络则可单独利用一台路由器作防火墙。

第一代防火墙产品的不足之处十分明显：

●路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。例如：在使用FTP协议时，外部服务器容易从20号端口上与内部网相连，即使在路由器上设置了过滤规则，内部网络的20端口仍可由外部探寻。

●路由器上的分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂，它涉及到规则的逻辑一致性，作用端口的有效性和规则集的正确性，一般的网络系统管理员难于胜任，加之一旦出现新的协议，管理员就得加上更多的规则去限制，这往往会带来很多错误。