各類防火墻的優(yōu)缺點(diǎn)

　　1.包過濾防火墻

　　使用包過濾防火墻的優(yōu)點(diǎn)包括：

　　防火墻對(duì)每條傳入和傳出網(wǎng)絡(luò)的包實(shí)行低水平控制。

　　每個(gè)IP包的字段都被檢查，例如源地址、目的地址、協(xié)議、端口等。防火墻將基于這些信息應(yīng)用過濾規(guī)則。

　　防火墻可以識(shí)別和丟棄帶欺騙性源IP地址的包。

　　包過濾防火墻是兩個(gè)網(wǎng)絡(luò)之間訪問的唯一來源。因?yàn)樗械耐ㄐ疟仨毻ㄟ^防火墻，繞過是困難的。

　　包過濾通常被包含在路由器數(shù)據(jù)包中，所以不必額外的系統(tǒng)來處理這個(gè)特征。

　　使用包過濾防火墻的缺點(diǎn)包括：

　　配置困難。因?yàn)榘^濾防火墻很復(fù)雜，人們經(jīng)常會(huì)忽略建立一些必要的規(guī)則，或者錯(cuò)誤配置了已有的規(guī)則，在防火墻上留下漏洞。然而，在市場上，許多新版本的防火墻對(duì)這個(gè)缺點(diǎn)正在作改進(jìn)，如開發(fā)者實(shí)現(xiàn)了基于圖形化用戶界面(GUI)的配置和更直接的規(guī)則定義。

　　為特定服務(wù)開放的端口存在著危險(xiǎn)，可能會(huì)被用于其他傳輸。例如，Web服務(wù)器默認(rèn)端口為80，而計(jì)算機(jī)上又安裝了RealPlayer，那么它會(huì)搜尋可以允許連接到RealAudio服務(wù)器的端口，而不管這個(gè)端口是否被其他協(xié)議所使用，RealPlayer正好是使用80端口而搜尋的。就這樣無意中，RealPlayer就利用了Web服務(wù)器的端口。

　　可能還有其他方法繞過防火墻進(jìn)入網(wǎng)絡(luò)，例如撥入連接。但這個(gè)并不是防火墻自身的缺點(diǎn)，而是不應(yīng)該在網(wǎng)絡(luò)安全上單純依賴防火墻的原因。

　　2.狀態(tài)/動(dòng)態(tài)檢測防火墻

　　狀態(tài)/動(dòng)態(tài)檢測防火墻的優(yōu)點(diǎn)有：

　　檢查IP包的每個(gè)字段的能力，并遵從基于包中信息的過濾規(guī)則。

　　識(shí)別帶有欺騙性源IP地址包的能力。

　　包過濾防火墻是兩個(gè)網(wǎng)絡(luò)之間訪問的唯一來源。因?yàn)樗械耐ㄐ疟仨毻ㄟ^防火墻，繞過是困難的。

　　基于應(yīng)用程序信息驗(yàn)證一個(gè)包的狀態(tài)的能力， 例如基于一個(gè)已經(jīng)建立的FTP連接，允許返回的FTP包通過。

　　基于應(yīng)用程序信息驗(yàn)證一個(gè)包狀態(tài)的能力，例如允許一個(gè)先前認(rèn)證過的連接繼續(xù)與被授予的服務(wù)通信。

　　記錄有關(guān)通過的每個(gè)包的詳細(xì)信息的能力?；旧希阑饓τ脕泶_定包狀態(tài)的所有信息都可以被記錄，包括應(yīng)用程序?qū)Π恼?qǐng)求，連接的持續(xù)時(shí)間，內(nèi)部和外部系統(tǒng)所做的連接請(qǐng)求等。

　　狀態(tài)/動(dòng)態(tài)檢測防火墻的缺點(diǎn)：

　　狀態(tài)/動(dòng)態(tài)檢測防火墻唯一的缺點(diǎn)就是所有這些記錄、測試和分析工作可能會(huì)造成網(wǎng)絡(luò)連接的某種遲滯，特別是在同時(shí)有許多連接激活的時(shí)候，或者是有大量的過濾網(wǎng)絡(luò)通信的規(guī)則存在時(shí)?？墒?，硬件速度越快，這個(gè)問題就越不易察覺，而且防火墻的制造商一直致力于提高他們產(chǎn)品的速度。

　　3.應(yīng)用程序代理防火墻

　　使用應(yīng)用程序代理防火墻的優(yōu)點(diǎn)有：

　　指定對(duì)連接的控制，例如允許或拒絕基于服務(wù)器IP地址的訪問，或者是允許或拒絕基于用戶所請(qǐng)求連接的IP地址的訪問。

　　通過限制某些協(xié)議的傳出請(qǐng)求，來減少網(wǎng)絡(luò)中不必要的服務(wù)。

　　大多數(shù)代理防火墻能夠記錄所有的連接，包括地址和持續(xù)時(shí)間。這些信息對(duì)追蹤攻擊和發(fā)生的未授權(quán)訪問的事件事很有用的。

　　使用應(yīng)用程序代理防火墻的缺點(diǎn)有：

　　必須在一定范圍內(nèi)定制用戶的系統(tǒng)，這取決于所用的應(yīng)用程序。

　　一些應(yīng)用程序可能根本不支持代理連接。

　　4.NAT

　　使用NAT的優(yōu)點(diǎn)有：

　　所有內(nèi)部的IP地址對(duì)外面的人來說是隱蔽的。因?yàn)檫@個(gè)原因，網(wǎng)絡(luò)之外沒有人可以通過指定IP地址的方式直接對(duì)網(wǎng)絡(luò)內(nèi)的任何一臺(tái)特定的計(jì)算機(jī)發(fā)起攻擊。

　　如果因?yàn)槟撤N原因公共IP地址資源比較短缺的話，NAT可以使整個(gè)內(nèi)部網(wǎng)絡(luò)共享一個(gè)IP地址。

　　可以啟用基本的包過濾防火墻安全機(jī)制，因?yàn)樗袀魅氲陌绻麤]有專門指定配置到NAT，那么就會(huì)被丟棄。內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)就不可能直接訪問外部網(wǎng)絡(luò)。

　　使用NAT的缺點(diǎn)：

　　NAT的缺點(diǎn)和包過濾防火墻的缺點(diǎn)是一樣的。雖然可以保障內(nèi)部網(wǎng)絡(luò)的安全，但它也是一些類似的局限。而且內(nèi)網(wǎng)可以利用現(xiàn)流傳比較廣泛的木馬程序可以通過NAT做外部連接，就像它可以穿過包過濾防火墻一樣的容易。

　　注意：現(xiàn)在有很多廠商開發(fā)的防火墻，特別是狀態(tài)/動(dòng)態(tài)檢測防火墻，除了它們應(yīng)該具有的功能之外也提供了NAT的功能。

　　5.個(gè)人防火墻

　　個(gè)人防火墻的優(yōu)點(diǎn)有：

　　增加了保護(hù)級(jí)別，不需要額外的硬件資源。

　　個(gè)人防火墻除了可以抵擋外來攻擊的同時(shí)，還可以抵擋內(nèi)部的攻擊。

　　個(gè)人防火墻是對(duì)公共網(wǎng)絡(luò)中的單個(gè)系統(tǒng)提供了保護(hù)。例如一個(gè)家庭用戶使用的是Modem或ISDN/ADSL上網(wǎng)，可能一個(gè)硬件防火墻對(duì)于他來說實(shí)在是太昂貴了，或者說是太麻煩了。而個(gè)人防火墻已經(jīng)能夠?yàn)橛脩綦[蔽暴露在網(wǎng)絡(luò)上的信息，比如IP地址之類的信息等。

　　個(gè)人防火墻的缺點(diǎn)：

　　個(gè)人防火墻主要的缺點(diǎn)就是對(duì)公共網(wǎng)絡(luò)只有一個(gè)物理接口。要記住，真正的防火墻應(yīng)當(dāng)監(jiān)視并控制兩

　　個(gè)或更多的網(wǎng)絡(luò)接口之間的通信。這樣一來的話，個(gè)人防火墻本身可能會(huì)容易受到威脅，或者說是具有這樣一個(gè)弱點(diǎn)，網(wǎng)絡(luò)通信可以繞過防火墻的規(guī)則。