真正认识防火墙

workers2

众所周知，防火墙的作用是通过在内网和外网之间、专网与公网之间的边界上构造一个保护屏障，保护内部网免受非法用户的侵入。
防火墙是单一的集中处理设备，而免疫墙是集分布计算、协议连接、系统联动一体的方案。防火墙就是一扇大门，把守在内外网的出入口。
防火墙架设在网络边界，防火墙处理的是网络协议的4层以上，涉及到3层的很少。
防火墙是用在有服务器提供对外信息服务，或者安装了内部信息系统，储存了重要敏感信息

的场合。也就是说，一个信息化程度较高的企业网络应该使用强劲的防火墙。而免疫墙是管理内网的，

上网掉线、卡滞、带宽无法管理等问题一般都是内网问题，有统计说现在80%的网络问题都是内网引起的。很多数据链路层的内攻击，防火墙还是解决不了。

防火墙的局限性：
其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全
防火墙还存在着一些弱点：
一、不能防御来自内部的攻击：来自内部的攻击者是从网络内部发起攻击的，他们的攻击行为不通过防火墙，而防火墙只是隔离内部网与因特网上的主机，监控内部网和因特网之间的通信，而对内部网上的情况不作检查，因而对内部的攻击无能为力；
二、不能防御绕过防火墙的攻击行为：从根本上讲，防火墙是一种被动的防御手段，只能守株待兔式地对通过它的数据报进行检查，如果该数据由于某种原因没有通过防火墙，则防火墙就不会采取任何的措施；
三、不能防御完全新的威胁：防火墙只能防御已知的威胁，但是人们发现可信赖的服务中存在新的侵袭方法，可信赖的服务就变成不可信赖的了；
四、防火墙不能防御数据驱动的攻击：虽然防火墙扫描分析所有通过的信息，但是这种扫描分析多半是针对IP地址和端口号或者协议内容的，而非数据细节。这样一来，基于数据驱动的攻击，比如病毒，可以附在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。