一����、防火墻的作用是什么��? 1.包過濾 具備包過濾的就是防火墻��?對,沒錯���!根據對防火墻的定義,凡是能有效阻止網絡非法連接的方式���,都算防火墻。早期的防火墻一般就是利用設置的條件��,監測通過的包的特征來決定放行或者阻止的��,包過濾是很重要的一種特性�。雖然防火墻技術發展到現在有了很多新的理念提出����,但是包過濾依然是非常重要的一環����,如同四層交換機首要的仍是要具備包的快速轉發這樣一個交換機的基本功能一樣。通過包過濾,防火墻可以實現阻擋攻擊����,禁止外部/內部訪問某些站點��,限制每個ip的流量和連接數。 2.包的透明轉發 事實上,由于防火墻一般架設在提供某些服務的服務器前���。如果用示意圖來表示就是 Server—FireWall—Guest 。用戶對服務器的訪問的請求與服務器反饋給用戶的信息,都需要經過防火墻的轉發,因此,很多防火墻具備網關的能力。 3.阻擋外部攻擊 如果用戶發送的信息是防火墻設置所不允許的�����,防火墻會立即將其阻斷,避免其進入防火墻之后的服務器中。 4.記錄攻擊 如果有必要,其實防火墻是完全可以將攻擊行為都記錄下來的��,但是由于出于效率上的考慮,目前一般記錄攻擊的事情都交給IDS來完成了,我們在后面會提到�。 以上是所有防火墻都具備的基本特性�,雖然很簡單�,但防火墻技術就是在此基礎上逐步發展起來的。 二�����、防火墻有哪些缺點和不足�����? 1.防火墻可以阻斷攻擊����,但不能消滅攻擊源����。 “各掃自家門前雪�,不管他人瓦上霜”,就是目前網絡安全的現狀�����?����;ヂ摼W上病毒�����、木馬����、惡意試探等等造成的攻擊行為絡繹不絕。設置得當的防火墻能夠阻擋他們�����,但是無法清除攻擊源����。即使防火墻進行了良好的設置,使得攻擊無法穿透防火墻,但各種攻擊仍然會源源不斷地向防火墻發出嘗試。例如接主干網10M網絡帶寬的某站點����,其日常流量中平均有512K左右是攻擊行為。那么���,即使成功設置了防火墻后,這512K的攻擊流量依然不會有絲毫減少�����。 2.防火墻不能抵抗最新的未設置策略的攻擊漏洞 就如殺毒軟件與病毒一樣����,總是先出現病毒�,殺毒軟件經過分析出特征碼后加入到病毒庫內才能查殺�。防火墻的各種策略���,也是在該攻擊方式經過專家分析后給出其特征進而設置的����。如果世界上新發現某個主機漏洞的cracker的把第一個攻擊對象選中了您的網絡���,那么防火墻也沒有辦法幫到您的���。 3.防火墻的并發連接數限制容易導致擁塞或者溢出 由于要判斷�、處理流經防火墻的每一個包,因此防火墻在某些流量大�����、并發請求多的情況下����,很容易導致擁塞�����,成為整個網絡的瓶頸影響性能����。而當防火墻溢出的時候����,整個防線就如同虛設,原本被禁止的連接也能從容通過了。 4.防火墻對服務器合法開放的端口的攻擊大多無法阻止 某些情況下,攻擊者利用服務器提供的服務進行缺陷攻擊。例如利用開放了3389端口取得沒打過sp補丁的win2k的超級權限�、利用asp程序進行腳本攻擊等���。由于其行為在防火墻一級看來是“合理”和“合法”的���,因此就被簡單地放行了��。 5.防火墻對待內部主動發起連接的攻擊一般無法阻止 “外緊內松”是一般局域網絡的特點?���;蛟S一道嚴密防守的防火墻內部的網絡是一片混亂也有可能�����。通過社會工程學發送帶木馬的郵件���、帶木馬的URL等方式���,然后由中木馬的機器主動對攻擊者連接���,將鐵壁一樣的防火墻瞬間破壞掉。另外,防火墻內部各主機間的攻擊行為,防火墻也只有如旁觀者一樣冷視而愛莫能助����。 6.防火墻本身也會出現問題和受到攻擊 防火墻也是一個os��,也有著其硬件系統和軟件,因此依然有著漏洞和bug。所以其本身也可能受到攻擊和出現軟/硬件方面的故障。 7.防火墻不處理病毒 不管是funlove病毒也好,還是CIH也好�。在內部網絡用戶下載外網的帶毒文件的時候�����,防火墻是不為所動的(這里的防火墻不是指單機/企業級的殺毒軟件中的實時監控功能,雖然它們不少都叫“病毒防火墻”)��。 看到這里����,或許您原本心目中的防火墻已經被我拉下了神臺。是的��,防火墻是網絡安全的重要一環��,但不代表設置了防火墻就能一定保證網絡的安全��。“真正的安全是一種意識,而非技術!”請牢記這句話。 不管怎么樣���,防火墻仍然有其積極的一面����。在構建任何一個網絡的防御工事時���,除了物理上的隔離和目前新近提出的網閘概念外���,首要的選擇絕對是防火墻���。那么����,怎么選擇需要的防火墻呢�����? 防火墻的分類介紹: 首先大概說一下防火墻的分類���。就防火墻(本文的防火墻都指商業用途的網絡版防火墻���,非個人使用的那種)的組成結構而言�����,可分為以下三種: 第一種:軟件防火墻 軟件防火墻運行于特定的計算機上�����,它需要客戶預先安裝好的計算機操作系統的支持,一般來說這臺計算機就是整個網絡的網關��。軟件防火墻就象其它的軟件產品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網絡版軟件防火墻最出名的莫過于Checkpoint�。使用這類防火墻��,需要網管對所工作的操作系統平臺比較熟悉。 第二種:硬件防火墻 這里說的硬件防火墻是指所謂的硬件防火墻���。之所以加上"所謂"二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺�。目前市場上大多數防火墻都是這種所謂的硬件防火墻�����,他們都基于PC架構�����,就是說�����,它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統�,最常用的有老版本的Unix����、Linux和FreeBSD系統。 值得注意的是�,由于此類防火墻采用的依然是別人的內核�,因此依然會受到os本身的安全性影響��。國內的許多防火墻產品就屬于此類��,因為采用的是經過裁減內核和定制組件的平臺,因此國內防火墻的某些銷售人員常常吹噓其產品是“專用的os”等等����,其實是一個概念誤導�����,下面我們提到的第三種防火墻才是真正的os專用。 | 
