防火墙十大局限性.doc

防火墙十大局限性 十大脆弱性 防火墙十大局限性 一、防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据，防火墙无法检查。 二、防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内，谁都不可信，但绝大多数单位因为不方便，不要求防火墙防内。 三、防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备，就像门卫一样，要根据政策规定来执行安全，而不能自作主张。 四、防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备，但防火墙本身必须存在于一个安全的地方。 五、防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议，防火墙不能防止利用该协议中的缺陷进行的攻击。 六、防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击，防火墙不能防止。 七、防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能，即使集成了第三方的防病毒的软件，也没有一种软件可以查杀所有的病毒。 八、防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。 九、防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密，防火墙是无能为力的。 十、防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己，目前还没有厂商绝对保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。 防火墙十大脆弱性 一、防火墙的XXX作系统不能保证没有漏洞。目前还没有一家防火墙厂商说，其防火墙没有XXX作系统。有XXX作系统就不能绝对保证没有安全漏洞。 二、防火墙的硬件不能保证不失效。所有的硬件都有一个生命周期，都会老化，总有失效的一天。 三、防火墙软件不能保证没有漏洞。防火墙软件也是软件，是软件就会有漏洞。 四、防火墙无法解决TCP/IP等协议的漏洞。防火墙本身就是基于TCP/IP等协议来实现的，就无法解决TCP/IPXXX作的漏洞。 五、防火墙无法区分恶意命令还是善意命令。有很多命令对管理员而言，是一项合法命令，而在黑客手里就可能是一个危险的命令。 六、防火墙无法区分恶意流量和善意流量。一个用户使用PING命令，用作网络诊断和网络攻击，从流量上是没有差异的。 七、防火墙的安全性与多功能成反比。多功能与防火墙的安全原则是背道而驰的。因此，除非确信需要某些功能，否则，应该功能最小化。 八、防火墙的安全性和速度成反比。防火墙的安全性是建立在对数据的检查之上，检查越细越安全，但检查越细速度越慢。 九、防火墙的多功能与速度成反比。防火墙的功能越多，对CPU和内存的消耗越大，功能越多，检查的越多，速度越慢。 十、防火墙无法保证准许服务的安全性。防火墙准许某项服务，却不能保证该服务的安全性。准许服务的安全性问题必须由应用安全来解决。 物理隔离网闸     1、技术分析     在防火墙的发展过程中，人们最终意识到防火墙在安全方面的局限性。高性能，高安全性，易用性方面的矛盾并没有很好的解决。防火墙体系架构在高安全性方面的缺陷，驱使人们追求更高安全性的解决方案，人们期望更安全的技术手段，物理隔离技术应运而生。     物理隔离是安全市场上的一匹黑马。在经过漫长的市场概念澄清和马拉松式技术演变进步之后，市场最终接受物理隔离具有最高安全性。人们把高安全性的所有要求都集中在物理隔离上，中断直接连接，不光检查所有的协议，还把协议给剥离掉，直接还原成最原始的数据，对数据可以检查和扫描，防止恶意代码和病毒，甚至对数据的属性进行要求，不支持TCP/IP，不依赖操作系统，一句话，对OSI的七层进行全面检查，在异构介质上重组所有的数据（第七层之上）。     物理隔离在技术上取得了很大的突破。首先在性能上，物理隔离利用SCSI可以达到320MBps的速度，利用实时交换可以达到1000Mbps的速度。在安全性上，目前存在的安全问题，对物理隔离而言在理论上都不存在。这就是各国政府和军方都强制推行物理隔离的主要原因。     2、物理隔离要解决的问题     （1）解决目前防火墙存在的根本问题：     * 防火墙对操作系统的依赖，因为操作系统也有漏洞     * TCP/IP的协议漏洞：不用TCP/IP     * 防火墙、内网和DMZ同时直接连接     * 应用协议的漏洞，因为命令和指令可能是非法的     * 文件带有病毒和恶意代码：不支持MIME，只支持TXT，或杀病毒软件，或恶意代码检查软件     （2）物理隔离的指导思想与防火墙有很大的不同：     * 防火墙的思路是在保障互联互通的前提下，尽可能安全     * 物理隔离的思路是在保证必须安全的前提下，尽可能互联互通     3、优点：     * 中断直接连接     * 强大的检查机制     * 最高的安全性     4、缺点：     * 对协议不透明，对每一种协议都要一种具体的实现     物理隔离技术，不是要替代防火墙、入侵检测、漏洞扫描和防病毒系统，相反，它是用户“深度防御”的安全策略的另外一块基石。物理隔离技术，是绝对要解决互联网的安全问题，而不是什么其它的问题。     物理隔离的一个特征，就是内网与外网永不连接，内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP 协议的数据连接。其数据传输机制是存储和转发。     物理隔离的好处是明显的，即使外网在最坏的情况下，内网不会有任何破坏。修复外网系统也非常容易。