包過濾防火墻的缺點(diǎn)有什么
包過濾防火墻的缺點(diǎn)有什么
我們經(jīng)常所說的包過濾防火墻!它到底有什么缺點(diǎn)呢?下面由學(xué)習(xí)啦小編給你做出詳細(xì)的包過濾防火墻的缺點(diǎn)介紹!希望對你有幫助!
包過濾防火墻的缺點(diǎn)介紹一
一些包過濾網(wǎng)關(guān)不支持有效的用戶認(rèn)證。
規(guī)則表很快會變得很大而且復(fù)雜,規(guī)則很難測試。隨著表的增大和復(fù)雜性的增加,規(guī)則結(jié)構(gòu)出現(xiàn)漏洞的可能 性也會增加。
這種防火墻最大的缺陷是它依賴一個(gè)單一的部件來保護(hù)系統(tǒng)。如果這個(gè)部件出現(xiàn)了問題,會使得網(wǎng)絡(luò)大門敞開,而用戶甚至可能還不知道。
在一般情況下,如果外部用戶被允許訪問內(nèi)部主機(jī),則它就可以訪問內(nèi)部網(wǎng)上的任何主機(jī)。
包過濾防火墻只能阻止一種類型的IP欺騙,即外部主機(jī)偽裝內(nèi)部主機(jī)的IP,對于外部主機(jī)偽裝外部主機(jī)的IP欺騙卻不可能阻止,而且它不能防止DNS欺騙。
雖然,包過濾防火墻有如上所述的缺點(diǎn),但是在管理良好的小規(guī)模網(wǎng)絡(luò)上,它能夠正常的發(fā)揮其作用。一般情況下,人們不單獨(dú)使用包過濾網(wǎng)關(guān),而是將它和其他設(shè)備(如堡壘主機(jī)等)聯(lián)合使用。
包過濾的工作是通過查看數(shù)據(jù)包的源地址、目的地址或端口來實(shí)現(xiàn)的,一般來說,它不保持前后連接信息,過濾決定是根據(jù) 當(dāng)前數(shù)據(jù)包的內(nèi)容來做的。管理員可以做一個(gè)可接受機(jī)和服務(wù)的列表,以及一個(gè)不可接受機(jī)和服務(wù)的列表。在主機(jī)和網(wǎng)絡(luò)一級,利用數(shù)據(jù)包過濾很容易實(shí)現(xiàn)允許或禁止訪問。
由此不難看出這個(gè)層次的防火墻的優(yōu)點(diǎn)和弱點(diǎn),由于防火墻只是工作在OSI的第三層(網(wǎng)絡(luò)層)和第四層(傳輸層),因此包過濾的防火墻的一個(gè)非常明顯的優(yōu)勢就是速度,這是因?yàn)榉阑饓χ皇侨z查數(shù)據(jù)報(bào)的報(bào)頭,而對數(shù)據(jù)報(bào)所攜帶的內(nèi)容沒有任何形勢的檢查,因此速度非常快。與此同時(shí),這種防火墻的缺點(diǎn)也是顯而易見的,比較關(guān)鍵的幾點(diǎn)如下所述。
(1)由于無法對數(shù)據(jù)報(bào)的內(nèi)容進(jìn)行核查,一次無法過濾或?qū)徍藬?shù)據(jù)報(bào)的內(nèi)容
體現(xiàn)這一問題的一個(gè)很簡單的例子就是:對某個(gè)端口的開放意味著相應(yīng)端口對應(yīng)的服務(wù)所能夠提供的全部功能都被開放,即使通過防火墻的數(shù)據(jù)報(bào)有攻擊性,也無法進(jìn)行控制和阻斷。例如在一個(gè)簡單的Web服務(wù)器,而包過濾的防火墻無法對數(shù)據(jù)報(bào)內(nèi)容進(jìn)行核查。因此,未打相應(yīng)補(bǔ)丁的提供Web服務(wù)的系統(tǒng),及時(shí)在防火墻的屏蔽之后,也會被攻擊著輕易獲取超級用戶的權(quán)限。
(2)由于此種類型的防火墻工作在較低層次,防火墻本身所能接觸的信息較少,所以它無法提供描述細(xì)致事件的日志系統(tǒng)。
此類防火墻生成的日志常常只是包括數(shù)據(jù)報(bào)捕獲的時(shí)間、網(wǎng)絡(luò)層的IP地址、傳輸層的端口等非常原始的信息。至于這個(gè)數(shù)據(jù)報(bào)內(nèi)容是什么,防火墻不會理會,而這對安全管理員而言恰恰是很關(guān)鍵的。因?yàn)榧皶r(shí)一個(gè)非常優(yōu)秀的系統(tǒng)管理員,一旦陷入大量的通過/屏蔽的原始數(shù)據(jù)包信息中,往往也是難以理清頭緒,這在發(fā)生安全事件時(shí)給管理員的安全審計(jì)帶來很大的困難。
(3)所有可能用到的端口(尤其是大于1024的端口)都必須開放,對外界暴露,從而極大地增加了被攻擊的可能性
通常對于網(wǎng)絡(luò)上所有服務(wù)所需要的數(shù)據(jù)包進(jìn)出防火墻的二端口都要仔細(xì)考慮,否則會產(chǎn)生意想不到的情況。然而我們知道,當(dāng)被防火墻保護(hù)的設(shè)備與外界通信時(shí),絕大多數(shù)應(yīng)用要求發(fā)出請求的系統(tǒng)本身提供一個(gè)端口,用來接收外界返回的數(shù)據(jù)包,而且這個(gè)端口一般是在1024到65536之間不確定的,如果不開放這些端口,通信將無法完成,這樣就需要開放1024以上的全部端口,允許這些端口的數(shù)據(jù)包進(jìn)出。而這就帶來非常大的安全隱患。例如:用戶網(wǎng)中有一臺UNIX服務(wù)器,對內(nèi)部用戶開放了RPC服務(wù),而這個(gè)服務(wù)是用在高端口的,那么這臺服務(wù)器非常容易遭到基于RPC應(yīng)用的攻擊。
(4)如果網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜,那么對管理員而言配置訪問控制規(guī)則將非常困難
當(dāng)網(wǎng)絡(luò)發(fā)展到一定規(guī)模時(shí),在路由器上配置訪問控制規(guī)則將會非常繁瑣,在一個(gè)規(guī)則甚至一個(gè)地址處出現(xiàn)錯誤都有可能導(dǎo)致整個(gè)訪問控制列表無法正常使用。
包過濾防火墻的缺點(diǎn)介紹二
1.不能防范惡意內(nèi)部用戶.
2.不能防范不通過防火墻的連接.
3.不能防范全部的威脅.
4.不能防范病毒.
看了“包過濾防火墻的缺點(diǎn)有什么 ”文章的還看了:
3.防火墻有什么類型
7.防火墻分類大全