正文

目前的防火墻防范對(duì)象主要是（目前的防火墻防范對(duì)象主要是）

發(fā)布時(shí)間：2023-03-04 21:27:50 稿源：創(chuàng)意嶺閱讀： 1513 問大家

大家好！今天讓創(chuàng)意嶺的小編來大家介紹下關(guān)于目前的防火墻防范對(duì)象主要是的問題，以下是小編對(duì)此問題的歸納整理，讓我們一起來看看吧。

創(chuàng)意嶺作為行業(yè)內(nèi)優(yōu)秀的企業(yè)，服務(wù)客戶遍布全球各地，相關(guān)業(yè)務(wù)請(qǐng)撥打電話：175-8598-2043，或添加微信：1454722008

本文目錄:

1、防火墻防什么？
2、防火墻的作用是什么？
3、防火墻有哪幾種
4、簡(jiǎn)述個(gè)人防火墻的主要功能及應(yīng)用特點(diǎn)

目前的防火墻防范對(duì)象主要是（目前的防火墻防范對(duì)象主要是）

一、防火墻防什么？

防火墻的定義

所謂防火墻指的是一個(gè)有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問政策、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，

防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件(其中硬件防火墻用的很少只有國(guó)防部等地才用,因?yàn)樗鼉r(jià)格昂貴)。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。

防火墻的功能

防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點(diǎn)的訪問，從而防止來自不明入侵者的所有通信。

為什么使用防火墻?

[編輯本段]

防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。

防火墻的類型

[編輯本段]

防火墻有不同類型。一個(gè)防火墻可以是硬件自身的一部分，你可以將因特網(wǎng)連接和計(jì)算機(jī)都插入其中。防火墻也可以在一個(gè)獨(dú)立的機(jī)器上運(yùn)行，該機(jī)器作為它背后網(wǎng)絡(luò)中所有計(jì)算機(jī)的代理和防火墻。最后，直接連在因特網(wǎng)的機(jī)器可以使用個(gè)人防火墻。

防火墻的概念

[編輯本段]

當(dāng)然，既然打算由淺入深的來了解，就要先看看防火墻的概念了。防火墻是汽車中一個(gè)部件的名稱。在汽車中，利用防火墻把乘客和引擎隔開，以便汽車引擎一旦著火，防火墻不但能保護(hù)乘客安全，而同時(shí)還能讓司機(jī)繼續(xù)控制引擎。再電腦術(shù)語中，當(dāng)然就不是這個(gè)意思了，我們可以類比來理解，在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進(jìn)行通信。

防火墻的功能

[編輯本段]

防火墻是網(wǎng)絡(luò)安全的屏障：

一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。

百度百科中著的o(∩_∩)o...

二、防火墻的作用是什么？

防火墻的作用是：

防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它可通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。

在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。

三、防火墻有哪幾種

問題一：防火墻的種類分幾種？都有哪些作用？隨著網(wǎng)絡(luò)的高速發(fā)整，現(xiàn)在使用防火墻的企業(yè)越來越多，產(chǎn)品也越來越多，但可能很多人還不了解防火墻，到底能干什么。下面我就簡(jiǎn)單的說說軟件防火墻到底能干些什么吧。什么是軟件防火墻？

顧名思義，軟件防火墻就是像office等，是一個(gè)安裝在PC上（當(dāng)然，這里是指可以在PC上安裝，但具體使用的時(shí)候最好用服務(wù)器），的一個(gè)軟件，而且一般的防火墻都帶了gateway功能。

一般需要使用防火墻的網(wǎng)絡(luò)拓?fù)鋱D：

問題二：常見防火墻有哪些？ 1. 冰盾抗DDOS防火墻免費(fèi)版 7.1 Build 60101

2. 天霸防火墻 8.00 個(gè)人免費(fèi)版

3. 免費(fèi)來電顯示軟件--來電防火墻 V3.0.1

4. 天霸防火墻 V8.0 個(gè)人免費(fèi)版

5. 山麗網(wǎng)絡(luò)堡壘防火墻 2004免費(fèi)版

6. 天霸防火墻個(gè)人版 v8.0 免費(fèi)版

7. 天傲抗DDOS防火墻 v1.0 免費(fèi)版

8. 免費(fèi)來電顯示軟件-來電防火墻 3.0

9. 天盾Xddos防火墻免費(fèi)版 v3.41

10. 天盾Xddos防火墻免費(fèi)版 V3.50

11. 天盾Xddos防火墻免費(fèi)版 V3.41

12. 天傲抗DDOS防火墻1.0免費(fèi)版

13. 天盾Xddos防火墻免費(fèi)版 V3.41

14. 鈦金進(jìn)程防火墻個(gè)人版 1.0.0.1 免費(fèi)版

15. 天霸防火墻 V8.0 個(gè)人免費(fèi)版

16. 補(bǔ)天IISWall防火墻 2.1 Build 0216 免費(fèi)版

17. 費(fèi)爾個(gè)人防火墻專業(yè)版 3.0免費(fèi)版

18. 江民黑客防火墻免費(fèi)版

19. 江民黑客防火墻V8.01 免費(fèi)版

20. 冰盾抗DDOS防火墻免費(fèi)版 7.1 Build 60101

21. 山麗網(wǎng)絡(luò)堡壘防火墻 2004免費(fèi)版

22. 天盾Xddos防火墻免費(fèi)版 3.56

23. 費(fèi)爾個(gè)人防火墻電腦報(bào)讀者專用版(全免費(fèi))

24. 天盾Xddos防火墻免費(fèi)版 V3.41

26. 冰盾抗DDOS防火墻 3.1 標(biāo)準(zhǔn)防護(hù)免費(fèi)版

27. 冰盾抗DDOS防火墻標(biāo)準(zhǔn)防護(hù)版 3.1 Build 50122 免費(fèi)版

28. 天盾Xddos防火墻免費(fèi)版 v3.56

29. 費(fèi)爾個(gè)人超強(qiáng)防火墻電腦報(bào)讀者專用版(免費(fèi)升級(jí)一年)

30. 費(fèi)爾個(gè)人防火墻電腦報(bào)讀者專用版(全免費(fèi))

32. 天網(wǎng)防火墻 2.7.7.1001 Build 1228 個(gè)人零售完美破解版+天網(wǎng)IP規(guī)則數(shù)據(jù)包2.33 免費(fèi)版

33. 超級(jí)黑客防火墻 V1.0 個(gè)人免費(fèi)版

34. 費(fèi)爾個(gè)人防火墻 3.0 專業(yè)免費(fèi)版

35. 山麗個(gè)人防火墻――網(wǎng)絡(luò)堡壘II 2004免費(fèi)版

36. 麗網(wǎng)絡(luò)堡壘防火墻 2004免費(fèi)版

37. 冰盾抗DDOS防火墻免費(fèi)版 7.0 Build 51206

38. Approck應(yīng)用防火墻 V1.2.07 免費(fèi)版

39. 天網(wǎng)防火墻 2.7.5 個(gè)人免費(fèi)試用版

問題三：防火墻產(chǎn)品種類有哪幾種 1、包過濾型(Packet Filter):包過濾通常安裝在路由器上,并且大多數(shù)商用路由器都提供了包過濾的功能。另外, PC機(jī)上同樣可以安裝包過濾軟件。包過濾規(guī)則以IP包信息為基礎(chǔ),對(duì)IP源地址、IP目標(biāo)地址、封裝協(xié)議(TCP/UDP/ICMPIP Tunnel)、端口號(hào)等進(jìn)行...

問題四：防火墻有哪幾種類型，常見的防火墻類型目前防火墻產(chǎn)品非常之多，劃分的標(biāo)準(zhǔn)也比較雜。主要分類如下：

1. 從軟、硬件形式上分為軟件防火墻和硬件防火墻以及芯片級(jí)防火墻。 2.從防火墻技術(shù)分為 “包過濾型”和“應(yīng)用代理型”兩大類。

3.從防火墻結(jié)構(gòu)分為問題五：防火墻包括哪些類型? 1、包過濾型(Packet Filter):包過濾通常安裝在路由器上,并且大多數(shù)商用路由器都提供了包過濾的功能。另外, PC機(jī)上同樣可以安裝包過濾軟件。包過濾規(guī)則以IP包信息為基礎(chǔ),對(duì)IP源地址、IP目標(biāo)地址、封裝協(xié)議(TCP/UDP/ICMPIP Tunnel)、端口號(hào)等進(jìn)行篩選。

2、代理服務(wù)型(Proxy Service):代理服務(wù)型防火墻通常由兩部分構(gòu)成:服務(wù)器端程序和客戶端程序。客戶端程序與中間節(jié)點(diǎn)(Proxy Server)連接,中間節(jié)點(diǎn)再與要訪問的外部服務(wù)器實(shí)際連接。與包過濾型防火墻不同的是,內(nèi)部網(wǎng)與外部網(wǎng)之間不存在直接的連接,同時(shí)提供日志(Log)及審計(jì)(Audit)服務(wù)。

3、復(fù)合型(Hybrid)防火墻:把包過濾和代理服務(wù)兩種方法結(jié)合起來,可以形成新的防火墻,所用主機(jī)稱為堡壘主機(jī)(Bastion Host),負(fù)責(zé)提供代理服務(wù)。

4、其它防火墻:路由器和各種主機(jī)按其配置和功能可組成各種類型的防火墻。雙端主機(jī)防火墻(Dyal-Homed Host Firewall)堡壘主機(jī)充當(dāng)網(wǎng)關(guān),并在其上運(yùn)行防火墻軟件。內(nèi)部網(wǎng)與外部網(wǎng)之間不能直接進(jìn)行通信,必須經(jīng)過堡壘主機(jī)。屏蔽主機(jī)防火墻(Screened Host Firewall)一個(gè)包過濾路由器與外部網(wǎng)相連,同時(shí),一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)上,使堡壘主機(jī)成為外部網(wǎng)所能到達(dá)的唯一節(jié)點(diǎn),確保內(nèi)部網(wǎng)不受外部非授權(quán)用戶的攻擊。加密路由器(Encrypting Router):加密路由器對(duì)通過路由器的信息流進(jìn)行加密和壓縮,然后通過外部網(wǎng)絡(luò)傳輸?shù)侥康亩诉M(jìn)行解壓縮和解密。

問題六：目前有哪幾種防火墻技術(shù)，各自的特點(diǎn)是什么? 首先這要看你怎么區(qū)別防火墻

一，如果你是按物理上分，可以分為硬件防火墻（比如思科的ASA），和軟件防火墻（比如WINDOWS系統(tǒng)本身自的防火墻）

二，如果是按照原理分，可以分為包過濾（這是第一代），應(yīng)用代理（第二代），狀態(tài)監(jiān)視（第三代）

包過濾的原理也是特點(diǎn)：

這是第一代防火墻，又稱為網(wǎng)絡(luò)層防火墻，在每一個(gè)數(shù)據(jù)包傳送到源主機(jī)時(shí)都會(huì)在網(wǎng)絡(luò)層進(jìn)行過濾，對(duì)于不合法的數(shù)據(jù)訪問，防火墻會(huì)選擇阻攔以及丟棄。這種防火墻的連接可以通過一個(gè)網(wǎng)卡即一張網(wǎng)卡由內(nèi)網(wǎng)的IP地址，又有公網(wǎng)的IP地址和兩個(gè)網(wǎng)卡一個(gè)網(wǎng)卡上有私有網(wǎng)絡(luò)的IP地址，另一個(gè)網(wǎng)卡有外部網(wǎng)絡(luò)的IP地址。

包過濾的缺點(diǎn)，有一攻擊是無法防護(hù)，比如DD龔S等。

應(yīng)用代理的原理也是特點(diǎn)：

應(yīng)用程序代理防火墻又稱為應(yīng)用層防火墻，工作于OSI的應(yīng)用層上。應(yīng)用程序代理防火墻實(shí)際上并不允許在它連接的網(wǎng)絡(luò)之間直接通信。相反，它是接受來自內(nèi)部網(wǎng)絡(luò)特定用戶應(yīng)用程序的通信，然后建立于公共網(wǎng)絡(luò)服務(wù)器單獨(dú)的連接。

應(yīng)用代理的缺點(diǎn)是速度相比慢一些。

狀態(tài)監(jiān)視的原理也是特點(diǎn)：

相對(duì)而言狀態(tài)監(jiān)視是比較不錯(cuò)的，就缺點(diǎn)而言，就是技術(shù)復(fù)雜，有時(shí)過于機(jī)械，不靈活。

問題七：防火墻的基本類型有哪幾種硬件，軟件，混合式硬件就是成本高，但是安全性好軟件就是便宜，安全性當(dāng)然沒有硬件的好最好的是混合式，但是也最貴

問題八：簡(jiǎn)述防火墻可分為哪幾種數(shù)據(jù)包過濾(Packet Filtering)技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，被稱為訪問控制表(Access Control Table)。通過檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。數(shù)據(jù)包過濾防火墻邏輯簡(jiǎn)單，價(jià)格便宜，易于安裝和使用，網(wǎng)絡(luò)性能和透明性好，它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備，因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用。

數(shù)據(jù)包過濾防火墻的缺點(diǎn)有二：一是非法訪問一旦突破防火墻，即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊；二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號(hào)都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。

應(yīng) 用級(jí) 網(wǎng) 關(guān)

應(yīng)用級(jí)網(wǎng)關(guān)(Application Level Gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì)，形成報(bào)告。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。

數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)防火墻有一個(gè)共同的特點(diǎn)，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。一旦滿足邏輯，則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系，防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)，這有利于實(shí)施非法訪問和攻擊。

代理服務(wù)

代理服務(wù)(Proxy Service)也稱鏈路級(jí)網(wǎng)關(guān)或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類。它是針對(duì)數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的鏈接，由兩個(gè)終止代理服務(wù)器上的鏈接來實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外，代理服務(wù)也對(duì)過往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記，形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。

防火墻能有效地防止外來的入侵，它在網(wǎng)絡(luò)系統(tǒng)中的作用是：

控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包；

提供使用和流量的日志和審計(jì)；

隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)；

另外防火墻引起或IE瀏覽器出現(xiàn)故障，也可導(dǎo)致可以正常連接，但不能打開網(wǎng)頁。

問題九：防火墻主要有哪幾類體系結(jié)構(gòu)，分別說明其優(yōu)缺點(diǎn) 硬件，軟件，混合式

硬件就是成本高，但是安全性好弗軟件就是便宜，安全性當(dāng)然沒有硬件的好

最好的是混合式，但是也最貴

問題十：防火墻包括哪些類型? 目前防火墻產(chǎn)品非常之多，劃分的標(biāo)準(zhǔn)也比較雜。主要分類如下：

1. 從軟、硬件形式上分為軟件防火墻和硬件防火墻以及芯片級(jí)防火墻。

2.從防火墻技術(shù)分釘 “包過濾型”和“應(yīng)用代理型”兩大類。

3.從防火墻結(jié)構(gòu)分為

四、簡(jiǎn)述個(gè)人防火墻的主要功能及應(yīng)用特點(diǎn)

一、防火墻能夠作到些什么？

1.包過濾

具備包過濾的就是防火墻？對(duì)，沒錯(cuò)！根據(jù)對(duì)防火墻的定義，凡是能有效阻止網(wǎng)絡(luò)非法連接的方式，都算防火墻。

早期的防火墻一般就是利用設(shè)置的條件，監(jiān)測(cè)通過的包的特征來決定放行或者阻止的，包過濾是很重要的一種特性。

雖然防火墻技術(shù)發(fā)展到現(xiàn)在有了很多新的理念提出，但是包過濾依然是非常重要的一環(huán)，如同四層交換機(jī)首要的仍是要具備包的快速轉(zhuǎn)發(fā)這樣一個(gè)交換機(jī)的基本功能一樣。

通過包過濾，防火墻可以實(shí)現(xiàn)阻擋攻擊，禁止外部/內(nèi)部訪問某些站點(diǎn)，限制每個(gè)ip的流量和連接數(shù)。

2.包的透明轉(zhuǎn)發(fā)

事實(shí)上，由于防火墻一般架設(shè)在提供某些服務(wù)的服務(wù)器前。

如果用示意圖來表示就是Server—FireWall—Guest。

用戶對(duì)服務(wù)器的訪問的請(qǐng)求與服務(wù)器反饋給用戶的信息，都需要經(jīng)過防火墻的轉(zhuǎn)發(fā),因此，很多防火墻具備網(wǎng)關(guān)的能力。

3.阻擋外部攻擊

如果用戶發(fā)送的信息是防火墻設(shè)置所不允許的，防火墻會(huì)立即將其阻斷，避免其進(jìn)入防火墻之后的服務(wù)器中。

4.記錄攻擊

如果有必要，其實(shí)防火墻是完全可以將攻擊行為都記錄下來的，但是由于出于效率上的考慮，目前一般記錄攻擊的事情都交給IDS來完成了，我們?cè)诤竺鏁?huì)提到。

以上是所有防火墻都具備的基本特性，雖然很簡(jiǎn)單，但防火墻技術(shù)就是在此基礎(chǔ)上逐步發(fā)展起來的。

二、防火墻有哪些缺點(diǎn)和不足？

1.防火墻可以阻斷攻擊，但不能消滅攻擊源。

“各掃自家門前雪，不管他人瓦上霜”，就是目前網(wǎng)絡(luò)安全的現(xiàn)狀。

互聯(lián)網(wǎng)上病毒、木馬、惡意試探等等造成的攻擊行為絡(luò)繹不絕。

設(shè)置得當(dāng)?shù)姆阑饓δ軌蜃钃跛麄?，但是無法清除攻擊源。

即使防火墻進(jìn)行了良好的設(shè)置，使得攻擊無法穿透防火墻，但各種攻擊仍然會(huì)源源不斷地向防火墻發(fā)出嘗試。

例如接主干網(wǎng)10M網(wǎng)絡(luò)帶寬的某站點(diǎn)，其日常流量中平均有512K左右是攻擊行為。

那么，即使成功設(shè)置了防火墻后，這512K的攻擊流量依然不會(huì)有絲毫減少。

2.防火墻不能抵抗最新的未設(shè)置策略的攻擊漏洞

就如殺毒軟件與病毒一樣，總是先出現(xiàn)病毒，殺毒軟件經(jīng)過分析出特征碼后加入到病毒庫內(nèi)才能查殺。

防火墻的各種策略，也是在該攻擊方式經(jīng)過專家分析后給出其特征進(jìn)而設(shè)置的。

如果世界上新發(fā)現(xiàn)某個(gè)主機(jī)漏洞的cracker的把第一個(gè)攻擊對(duì)象選中了您的網(wǎng)絡(luò)，那么防火墻也沒有辦法幫到您的。

3.防火墻的并發(fā)連接數(shù)限制容易導(dǎo)致?lián)砣蛘咭绯?/p>

由于要判斷、處理流經(jīng)防火墻的每一個(gè)包，因此防火墻在某些流量大、并發(fā)請(qǐng)求多的情況下，很容易導(dǎo)致?lián)砣?，成為整個(gè)網(wǎng)絡(luò)的瓶頸影響性能。

而當(dāng)防火墻溢出的時(shí)候，整個(gè)防線就如同虛設(shè)，原本被禁止的連接也能從容通過了。

4.防火墻對(duì)服務(wù)器合法開放的端口的攻擊大多無法阻止

某些情況下，攻擊者利用服務(wù)器提供的服務(wù)進(jìn)行缺陷攻擊。

例如利用開放了3389端口取得沒打過sp補(bǔ)丁的win2k的超級(jí)權(quán)限、利用asp程序進(jìn)行腳本攻擊等。

由于其行為在防火墻一級(jí)看來是“合理”和“合法”的，因此就被簡(jiǎn)單地放行了。

5.防火墻對(duì)待內(nèi)部主動(dòng)發(fā)起連接的攻擊一般無法阻止

“外緊內(nèi)松”是一般局域網(wǎng)絡(luò)的特點(diǎn)。

或許一道嚴(yán)密防守的防火墻內(nèi)部的網(wǎng)絡(luò)是一片混亂也有可能。

通過社會(huì)工程學(xué)發(fā)送帶木馬的郵件、帶木馬的URL等方式，然后由中木馬的機(jī)器主動(dòng)對(duì)攻擊者連接，將鐵壁一樣的防火墻瞬間破壞掉。

另外，防火墻內(nèi)部各主機(jī)間的攻擊行為，防火墻也只有如旁觀者一樣冷視而愛莫能助。

6．防火墻本身也會(huì)出現(xiàn)問題和受到攻擊

防火墻也是一個(gè)os，也有著其硬件系統(tǒng)和軟件，因此依然有著漏洞和bug。

所以其本身也可能受到攻擊和出現(xiàn)軟/硬件方面的故障。

7．防火墻不處理病毒

不管是funlove病毒也好，還是CIH也好。

在內(nèi)部網(wǎng)絡(luò)用戶下載外網(wǎng)的帶毒文件的時(shí)候，防火墻是不為所動(dòng)的（這里的防火墻不是指單機(jī)/企業(yè)級(jí)的殺毒軟件中的實(shí)時(shí)監(jiān)控功能，雖然它們不少都叫“病毒防火墻”）。

看到這里，或許您原本心目中的防火墻已經(jīng)被我拉下了神臺(tái)。

是的，防火墻是網(wǎng)絡(luò)安全的重要一環(huán)，但不代表設(shè)置了防火墻就能一定保證網(wǎng)絡(luò)的安全。

“真正的安全是一種意識(shí)，而非技術(shù)!”請(qǐng)牢記這句話。

不管怎么樣，防火墻仍然有其積極的一面。

在構(gòu)建任何一個(gè)網(wǎng)絡(luò)的防御工事時(shí)，除了物理上的隔離和目前新近提出的網(wǎng)閘概念外，首要的選擇絕對(duì)是防火墻。

那么，怎么選擇需要的防火墻呢？

防火墻的分類

首先大概說一下防火墻的分類。

就防火墻（本文的防火墻都指商業(yè)用途的網(wǎng)絡(luò)版防火墻，非個(gè)人使用的那種）的組成結(jié)構(gòu)而言，可分為以下三種：

第一種：軟件防火墻

軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上，它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持，一般來說這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。

軟件防火墻就象其它的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。

防火墻廠商中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過于Checkpoint。

使用這類防火墻，需要網(wǎng)管對(duì)所工作的操作系統(tǒng)平臺(tái)比較熟悉。

第二種：硬件防火墻

這里說的硬件防火墻是指所謂的硬件防火墻。

之所以加上"所謂"二字是針對(duì)芯片級(jí)防火墻說的了。

它們最大的差別在于是否基于專用的硬件平臺(tái)。

目前市場(chǎng)上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構(gòu)，就是說，它們和普通的家庭用的PC沒有太大區(qū)別。

在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過裁剪和簡(jiǎn)化的操作系統(tǒng)，最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。

值得注意的是，由于此類防火墻采用的依然是別人的內(nèi)核，因此依然會(huì)受到os本身的安全性影響。

國(guó)內(nèi)的許多防火墻產(chǎn)品就屬于此類，因?yàn)椴捎玫氖墙?jīng)過裁減內(nèi)核和定制組件的平臺(tái)，因此國(guó)內(nèi)防火墻的某些銷售人員常常吹噓其產(chǎn)品是“專用的os”等等，其實(shí)是一個(gè)概念誤導(dǎo)，下面我們提到的第三種防火墻才是真正的os專用。

第三種：芯片級(jí)防火墻

它們基于專門的硬件平臺(tái)，沒有操作系統(tǒng)。

專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強(qiáng)，性能更高。

做這類防火墻最出名的廠商莫過于Screen.其他的品牌還有Forti,算是后起之秀了。

這類防火墻由于是專用OS,因此防火墻本身的漏洞比較少，不過價(jià)格相對(duì)比較高昂，所以一般只有在“確實(shí)需要”的情況下才考慮。

在這里，特別糾正幾個(gè)不正確的觀念：

1.在性能上，芯片級(jí)防火墻>硬件防火墻>軟件防火墻。

在價(jià)格上看來，的確倒是如此的關(guān)系。

但是性能上卻未必。

防火墻的“好”，是看其支持的并發(fā)數(shù)、最大流量等等性能，而不是用軟件硬件來區(qū)分的。

事實(shí)上除了芯片級(jí)防火墻外，軟件防火墻與硬件防火墻在硬件上基本是完全一樣的。

目前國(guó)內(nèi)的防火墻廠商由于大多采用硬件防火墻而不是軟件防火墻，原因1是考慮到用戶網(wǎng)絡(luò)管理員的素質(zhì)等原因，還有就是基于我國(guó)大多數(shù)民眾對(duì)“看得見的硬件值錢，看不到的軟件不值錢”這樣一種錯(cuò)誤觀點(diǎn)的迎合。

不少硬件防火墻廠商大肆詆毀軟件防火墻性能，不外是為了讓自己那加上了外殼的普通pc＋一個(gè)被修改后的內(nèi)核＋一套防火墻軟件能夠賣出一個(gè)好價(jià)錢來而已。

而為什么不作芯片級(jí)防火墻呢？坦白說，國(guó)內(nèi)沒有公司有技術(shù)實(shí)力。

而且在中國(guó)市場(chǎng)上來看，某些國(guó)內(nèi)的所謂硬件防火墻的硬件質(zhì)量連diy的兼容機(jī)都比不上。

看看國(guó)內(nèi)XX的硬件防火墻那拙劣的硬盤和網(wǎng)卡，使用過的人都能猜到是哪家，我就不點(diǎn)名了。

真正看防火墻，應(yīng)該看其穩(wěn)定性和性能，而不是用軟、硬來區(qū)分的。

至少，如果筆者自己選購，我會(huì)選擇購買CheckPoint而非某些所謂的硬件防火墻的。

2.在效果上，芯片防火墻比其他兩種防火墻好

這同樣也是一種有失公允的觀點(diǎn)。

事實(shí)上芯片防火墻由于硬件的獨(dú)立，的確在OS本身出漏洞的機(jī)會(huì)上比較少，但是由于其固化，導(dǎo)致在面對(duì)新興的一些攻擊方式時(shí)，無法及時(shí)應(yīng)對(duì)；而另外兩種防火墻，則可以簡(jiǎn)單地通過升級(jí)os的內(nèi)核來獲取系統(tǒng)新特性，通過靈活地策略設(shè)置來滿足不斷變化的要求，不過其OS出現(xiàn)漏洞的概率相對(duì)高一些。

3.唯技術(shù)指標(biāo)論

請(qǐng)以“防火墻買來是使用的”為第一前提進(jìn)行購買。

防火墻本身的質(zhì)量如何是一回事，是否習(xí)慣使用又是另一回事。

如果對(duì)一款產(chǎn)品的界面不熟悉，策略設(shè)置方式不理解，那么即使用世界最頂級(jí)的防火墻也沒有多大作用。

就如小說中武林中人無不向往的“倚天劍”、“屠龍刀”被我拿到，肯定也敵不過喬峰赤手的少林長(zhǎng)拳是一般道理。

防火墻技術(shù)發(fā)展至今，市場(chǎng)已經(jīng)很成熟了，各類產(chǎn)品的存在，自然有其生存于市場(chǎng)的理由。

如何把產(chǎn)品用好，遠(yuǎn)比盲目地比較各類產(chǎn)品好。

IDS

什么是IDS呢？早期的IDS僅僅是一個(gè)監(jiān)聽系統(tǒng)，在這里，你可以把監(jiān)聽理解成竊聽的意思。

基于目前局網(wǎng)的工作方式，IDS可以將用戶對(duì)位于與IDS同一交換機(jī)/HuB的服務(wù)器的訪問、操作全部記錄下來以供分析使用，跟我們常用的widnows操作系統(tǒng)的事件查看器類似。

再后來，由于IDS的記錄太多了，所以新一代的IDS提供了將記錄的數(shù)據(jù)進(jìn)行分析，僅僅列出有危險(xiǎn)的一部分記錄，這一點(diǎn)上跟目前windows所用的策略審核上很象；目前新一代的IDS，更是增加了分析應(yīng)用層數(shù)據(jù)的功能，使得其能力大大增加；而更新一代的IDS，就頗有“路見不平，拔刀相助”的味道了，配合上防火墻進(jìn)行聯(lián)動(dòng)，將IDS分析出有敵意的地址阻止其訪問。

就如理論與實(shí)際的區(qū)別一樣，IDS雖然具有上面所說的眾多特性，但在實(shí)際的使用中，目前大多數(shù)的入侵檢測(cè)的接入方式都是采用pass-by方式來偵聽網(wǎng)絡(luò)上的數(shù)據(jù)流，所以這就限制了IDS本身的阻斷功能，IDS只有靠發(fā)阻斷數(shù)據(jù)包來阻斷當(dāng)前行為，并且IDS的阻斷范圍也很小，只能阻斷建立在TCP基礎(chǔ)之上的一些行為，如Tel、FTP、HTTP等，而對(duì)于一些建立在UDP基礎(chǔ)之上就無能為力了。

因?yàn)榉阑饓Φ牟呗远际鞘孪仍O(shè)置好的，無法動(dòng)態(tài)設(shè)置策略，缺少針對(duì)攻擊的必要的靈活性，不能更好的保護(hù)網(wǎng)絡(luò)的安全，所以IDS與防火墻聯(lián)動(dòng)的目的就是更有效地阻斷所發(fā)生的攻擊事件，從而使網(wǎng)絡(luò)隱患降至較低限度。

接下來，我簡(jiǎn)單介紹一下IDS與防火墻聯(lián)動(dòng)工作原理

入侵檢測(cè)系統(tǒng)在捕捉到某一攻擊事件后，按策略進(jìn)行檢查，如果策略中對(duì)該攻擊事件設(shè)置了防火墻阻斷，那么入侵檢測(cè)系統(tǒng)就會(huì)發(fā)給防火墻一個(gè)相應(yīng)的動(dòng)態(tài)阻斷策略，防火墻根據(jù)該動(dòng)態(tài)策略中的設(shè)置進(jìn)行相應(yīng)的阻斷，阻斷的時(shí)間、阻斷時(shí)間間隔、源端口、目的端口、源IP和目的IP等信息，完全依照入侵檢測(cè)系統(tǒng)發(fā)出的動(dòng)態(tài)策略來執(zhí)行。

一般來說，很多情況下，不少用戶的防火墻與IDS并不是同一家的產(chǎn)品，因此在聯(lián)動(dòng)的協(xié)議上面大都遵從opsec或者topsec協(xié)議進(jìn)行通信，不過也有某些廠家自己開發(fā)相應(yīng)的通信規(guī)范的。

目前總得來說，聯(lián)動(dòng)有一定效果，但是穩(wěn)定性不理想，特別是攻擊者利用偽造的包信息，讓IDS錯(cuò)誤判斷，進(jìn)而錯(cuò)誤指揮防火墻將合法的地址無辜屏蔽掉。

因?yàn)橹T多不足，在目前而言，IDS主要起的還是監(jiān)聽記錄的作用。

用個(gè)比喻來形容：網(wǎng)絡(luò)就好比一片黑暗，到處充滿著危險(xiǎn)，冥冥中只有一個(gè)出口；IDS就象一支手電筒，雖然手電筒不一定能照到正確的出口，但至少有總比沒有要好一些。

稱職的網(wǎng)管，可以從IDS中得到一些關(guān)于網(wǎng)絡(luò)使用者的來源和訪問方式，進(jìn)而依據(jù)自己的經(jīng)驗(yàn)進(jìn)行主觀判斷（注意，的確是主觀判斷。

例如用戶連續(xù)ping了服務(wù)器半個(gè)小時(shí)，到底是意圖攻擊，還是無意中的行為？這都依據(jù)網(wǎng)絡(luò)管理員的主觀判斷和網(wǎng)絡(luò)對(duì)安全性的要求來確定對(duì)應(yīng)方式。

）對(duì)IDS的選擇，跟上面談到的防火墻的選擇類似，根據(jù)自己的實(shí)際要求和使用習(xí)慣，選擇一個(gè)自己夠用的，會(huì)使用的就足夠了。

最后，要說的依然是那句“世界上沒有一種技術(shù)能真正保證絕對(duì)地安全。

”安全問題，是從設(shè)備到人，從服務(wù)器上的每個(gè)服務(wù)程序到防火墻、IDS等安全產(chǎn)品的綜合問題；任何一個(gè)環(huán)節(jié)工作，只是邁向安全的步驟。

以上就是關(guān)于目前的防火墻防范對(duì)象主要是相關(guān)問題的回答。希望能幫到你，如有更多相關(guān)問題，您也可以聯(lián)系我們的客服進(jìn)行咨詢，客服也會(huì)為您講解更多精彩的知識(shí)和內(nèi)容。