防火墻的優(yōu)缺點是什么

防火墻的優(yōu)缺點是什么

　　相信大家都聽說過防火墻，防火墻在建筑中是一種具有較高耐火極限的重要防火分隔物，是阻止火勢蔓延的有力設(shè)施。但現(xiàn)在更多的是用來形容網(wǎng)絡(luò)防火墻，那防火墻的作用是什么? 防火墻的優(yōu)缺點有哪些?跟著小編一起了解下：

　　防火墻是什么

　　防火墻就是一個位于計算機和它所連接的網(wǎng)絡(luò)之間的軟件。該計算機流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

　　防火墻的作用

　　防火墻作為內(nèi)部網(wǎng)與外部網(wǎng)之間的一種訪問控制設(shè)備， 常常安裝在內(nèi)部網(wǎng)和外部網(wǎng)交界點上。防火墻具有很好的網(wǎng)絡(luò)安全保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護選擇。主要作用：

　　1、Internet防火墻可以防止Internet上的危險(病毒、資源盜用)傳播到網(wǎng)絡(luò)內(nèi)部;

　　2、能強化安全策略;

　　3、能有效記錄Internet上的活動;

　　4、可限制暴露用戶點;

　　5、它是安全策略的檢查點。

　　防火墻的優(yōu)點

　　1、防火墻能強化安全策略

　　因為Internet上每天都有上百萬人在那里收集信息、交換信息，不可避免地會出現(xiàn)個別品德不良的人，或違反規(guī)則的人，防火墻是為了防止不良現(xiàn)象發(fā)生的"交通警察"，它執(zhí)行站點的安全策略，僅僅容許"認可的"和符合規(guī)則的請求通過。

　　2、防火墻能有效地記錄Internet上的活動

　　因為所有進出信息都必須通過防火墻，所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問的唯一點，防火墻能在被保護的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進行記錄。

　　3、防火墻限制暴露用戶點

　　防火墻能夠用來隔開網(wǎng)絡(luò)中一個網(wǎng)段與另一個網(wǎng)段。這樣，能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡(luò)傳播。

　　4、防火墻是一個安全策略的檢查站

　　所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。

　　防火墻的缺點與不足

　　1、防火墻可以阻斷攻擊，但不能消滅攻擊源。

　　“各掃自家門前雪，不管他人瓦上霜”，就是目前網(wǎng)絡(luò)安全的現(xiàn)狀?；ヂ?lián)網(wǎng)上病毒、木馬、惡意試探等等造成的攻擊行為絡(luò)繹不絕。設(shè)置得當?shù)姆阑饓δ軌蜃钃跛麄?，但是無法清除攻擊源。即使防火墻進行了良好的設(shè)置，使得攻擊無法穿透防火墻，但各種攻擊仍然會源源不斷地向防火墻發(fā)出嘗試。例如接主干網(wǎng)10M網(wǎng)絡(luò)帶寬的某站點，其日常流量中平均有512K左右是攻擊行為。那么，即使成功設(shè)置了防火墻后，這512K的攻擊流量依然不會有絲毫減少。

　　2、防火墻不能抵抗最新的未設(shè)置策略的攻擊漏洞

　　就如殺毒軟件與病毒一樣，總是先出現(xiàn)病毒，殺毒軟件經(jīng)過分析出特征碼后加入到病毒庫內(nèi)才能查殺。防火墻的各種策略，也是在該攻擊方式經(jīng)過專家分析后給出其特征進而設(shè)置的。如果世界上新發(fā)現(xiàn)某個主機漏洞的cracker的把第一個攻擊對象選中了您的網(wǎng)絡(luò)，那么防火墻也沒有辦法幫到您的。

　　3、防火墻的并發(fā)連接數(shù)限制容易導致?lián)砣蛘咭绯?/p>

　　由于要判斷、處理流經(jīng)防火墻的每一個包，因此防火墻在某些流量大、并發(fā)請求多的情況下，很容易導致?lián)砣?，成為整個網(wǎng)絡(luò)的瓶頸影響性能。而當防火墻溢出的時候，整個防線就如同虛設(shè)，原本被禁止的連接也能從容通過了。

　　4、防火墻對服務(wù)器合法開放的端口的攻擊大多無法阻止

　　某些情況下，攻擊者利用服務(wù)器提供的服務(wù)進行缺陷攻擊。例如利用開放了3389端口取得沒打過sp補丁的win2k的超級權(quán)限、利用asp程序進行腳本攻擊等。由于其行為在防火墻一級看來是“合理”和“合法”的，因此就被簡單地放行了。

　　5、防火墻對待內(nèi)部主動發(fā)起連接的攻擊一般無法阻止

　　“外緊內(nèi)松”是一般局域網(wǎng)絡(luò)的特點?；蛟S一道嚴密防守的防火墻內(nèi)部的網(wǎng)絡(luò)是一片混亂也有可能。通過社會工程學發(fā)送帶木馬的郵件、帶木馬的URL等方式，然后由中木馬的機器主動對攻擊者連接，將鐵壁一樣的防火墻瞬間破壞掉。另外，防火墻內(nèi)部各主機間的攻擊行為，防火墻也只有如旁觀者一樣冷視而愛莫能助。

　　6、防火墻本身也會出現(xiàn)問題和受到攻擊

　　防火墻也是一個os，也有著其硬件系統(tǒng)和軟件，因此依然有著漏洞和bug。所以其本身也可能受到攻擊和出現(xiàn)軟/硬件方面的故障。

　　7、防火墻不處理病毒

　　不管是funlove病毒也好，還是CIH也好。在內(nèi)部網(wǎng)絡(luò)用戶下載外網(wǎng)的帶毒文件的時候，防火墻是不為所動的(這里的防火墻不是指單機/企業(yè)級的殺毒軟件中的實時監(jiān)控功能，雖然它們不少都叫“病毒防火墻”)。

以上就是學習啦網(wǎng)帶給大家不一樣的精彩。想要了解更多精彩的朋友可以持續(xù)關(guān)注學習啦網(wǎng)，我們將會為你奉上最全最新鮮的內(nèi)容哦! 學習啦，因你而精彩。希望會對你有所幫助，想了解更多信息，就請繼續(xù)關(guān)注我們的學習啦!