包過濾防火墻的缺點有什么

包過濾防火墻的缺點有什么

　　我們經(jīng)常所說的包過濾防火墻!它到底有什么缺點呢?下面由學習啦小編給你做出詳細的包過濾防火墻的缺點介紹!希望對你有幫助!

　　包過濾防火墻的缺點介紹一

　　一些包過濾網(wǎng)關(guān)不支持有效的用戶認證。

　　規(guī)則表很快會變得很大而且復雜，規(guī)則很難測試。隨著表的增大和復雜性的增加，規(guī)則結(jié)構(gòu)出現(xiàn)漏洞的可能 性也會增加。

　　這種防火墻最大的缺陷是它依賴一個單一的部件來保護系統(tǒng)。如果這個部件出現(xiàn)了問題，會使得網(wǎng)絡(luò)大門敞開，而用戶甚至可能還不知道。

　　在一般情況下，如果外部用戶被允許訪問內(nèi)部主機，則它就可以訪問內(nèi)部網(wǎng)上的任何主機。

　　包過濾防火墻只能阻止一種類型的IP欺騙，即外部主機偽裝內(nèi)部主機的IP，對于外部主機偽裝外部主機的IP欺騙卻不可能阻止，而且它不能防止DNS欺騙。

　　雖然，包過濾防火墻有如上所述的缺點，但是在管理良好的小規(guī)模網(wǎng)絡(luò)上，它能夠正常的發(fā)揮其作用。一般情況下，人們不單獨使用包過濾網(wǎng)關(guān)，而是將它和其他設(shè)備(如堡壘主機等)聯(lián)合使用。

　　包過濾的工作是通過查看數(shù)據(jù)包的源地址、目的地址或端口來實現(xiàn)的，一般來說，它不保持前后連接信息，過濾決定是根據(jù) 當前數(shù)據(jù)包的內(nèi)容來做的。管理員可以做一個可接受機和服務的列表，以及一個不可接受機和服務的列表。在主機和網(wǎng)絡(luò)一級，利用數(shù)據(jù)包過濾很容易實現(xiàn)允許或禁止訪問。

　　由此不難看出這個層次的防火墻的優(yōu)點和弱點，由于防火墻只是工作在OSI的第三層(網(wǎng)絡(luò)層)和第四層(傳輸層)，因此包過濾的防火墻的一個非常明顯的優(yōu)勢就是速度，這是因為防火墻只是去檢查數(shù)據(jù)報的報頭，而對數(shù)據(jù)報所攜帶的內(nèi)容沒有任何形勢的檢查，因此速度非常快。與此同時，這種防火墻的缺點也是顯而易見的，比較關(guān)鍵的幾點如下所述。

　　(1)由于無法對數(shù)據(jù)報的內(nèi)容進行核查，一次無法過濾或?qū)徍藬?shù)據(jù)報的內(nèi)容

　　體現(xiàn)這一問題的一個很簡單的例子就是：對某個端口的開放意味著相應端口對應的服務所能夠提供的全部功能都被開放，即使通過防火墻的數(shù)據(jù)報有攻擊性，也無法進行控制和阻斷。例如在一個簡單的Web服務器，而包過濾的防火墻無法對數(shù)據(jù)報內(nèi)容進行核查。因此，未打相應補丁的提供Web服務的系統(tǒng)，及時在防火墻的屏蔽之后，也會被攻擊著輕易獲取超級用戶的權(quán)限。

　　(2)由于此種類型的防火墻工作在較低層次，防火墻本身所能接觸的信息較少，所以它無法提供描述細致事件的日志系統(tǒng)。

　　此類防火墻生成的日志常常只是包括數(shù)據(jù)報捕獲的時間、網(wǎng)絡(luò)層的IP地址、傳輸層的端口等非常原始的信息。至于這個數(shù)據(jù)報內(nèi)容是什么，防火墻不會理會，而這對安全管理員而言恰恰是很關(guān)鍵的。因為及時一個非常優(yōu)秀的系統(tǒng)管理員，一旦陷入大量的通過/屏蔽的原始數(shù)據(jù)包信息中，往往也是難以理清頭緒，這在發(fā)生安全事件時給管理員的安全審計帶來很大的困難。

　　(3)所有可能用到的端口(尤其是大于1024的端口)都必須開放，對外界暴露，從而極大地增加了被攻擊的可能性

　　通常對于網(wǎng)絡(luò)上所有服務所需要的數(shù)據(jù)包進出防火墻的二端口都要仔細考慮，否則會產(chǎn)生意想不到的情況。然而我們知道，當被防火墻保護的設(shè)備與外界通信時，絕大多數(shù)應用要求發(fā)出請求的系統(tǒng)本身提供一個端口，用來接收外界返回的數(shù)據(jù)包，而且這個端口一般是在1024到65536之間不確定的，如果不開放這些端口，通信將無法完成，這樣就需要開放1024以上的全部端口，允許這些端口的數(shù)據(jù)包進出。而這就帶來非常大的安全隱患。例如：用戶網(wǎng)中有一臺UNIX服務器，對內(nèi)部用戶開放了RPC服務，而這個服務是用在高端口的，那么這臺服務器非常容易遭到基于RPC應用的攻擊。

　　(4)如果網(wǎng)絡(luò)結(jié)構(gòu)比較復雜，那么對管理員而言配置訪問控制規(guī)則將非常困難

　　當網(wǎng)絡(luò)發(fā)展到一定規(guī)模時，在路由器上配置訪問控制規(guī)則將會非常繁瑣，在一個規(guī)則甚至一個地址處出現(xiàn)錯誤都有可能導致整個訪問控制列表無法正常使用。

　　包過濾防火墻的缺點介紹二

　　1.不能防范惡意內(nèi)部用戶.

　　2.不能防范不通過防火墻的連接.

　　3.不能防范全部的威脅.

　　4.不能防范病毒.

看了“包過濾防火墻的缺點有什么 ”文章的還看了：

1.防火墻的優(yōu)缺點及種類

2.防火墻的分類與優(yōu)缺點知識

3.防火墻有什么類型

4.淺談防火墻技術(shù)

5.防火墻相關(guān)的基礎(chǔ)知識

6.病毒防火墻的主流技術(shù)

7.防火墻分類大全