各类防火墙的优缺点

二 各类防火墙的优缺点二 各类防火墙的优缺点 1 包过滤防火墙 使用包过滤防火墙的优点包括 防火墙对每条传入和传出网络的包实行低水平控制 每个 IP 包的字段都被检查 例如源地址 目的地址 协议 端口等 防火 墙将基于这些信息应用过滤规则 防火墙可以识别和丢弃带欺骗性源 IP 地址的包 包过滤防火墙是两个网络之间访问的唯一来源 因为所有的通信必须通过 防火墙 绕过是困难的 包过滤通常被包含在路由器数据包中 所以不必额外的系统来处理这个特 征 使用包过滤防火墙的缺点包括 配置困难 因为包过滤防火墙很复杂 人们经常会忽略建立一些必要的规 则 或者错误配置了已有的规则 在防火墙上留下漏洞 然而 在市场上 许 多新版本的防火墙对这个缺点正在作改进 如开发者实现了基于图形化用户界 面 GUI 的配置和更直接的规则定义 为特定服务开放的端口存在着危险 可能会被用于其他传输 例如 Web 服务器默认端口为 80 而计算机上又安装了 RealPlayer 那么它会搜寻可以允 许连接到 RealAudio 服务器的端口 而不管这个端口是否被其他协议所使用 RealPlayer 正好是使用 80 端口而搜寻的 就这样无意中 RealPlayer 就利用 了 Web 服务器的端口 可能还有其他方法绕过防火墙进入网络 例如拨入连接 但这个并不是防 火墙自身的缺点 而是不应该在网络安全上单纯依赖防火墙的原因 2 2 状态状态 动态检测防火墙动态检测防火墙 状态 动态检测防火墙的优点有 检查 IP 包的每个字段的能力 并遵从基于包中信息的过滤规则 识别带有欺骗性源 IP 地址包的能力 包过滤防火墙是两个网络之间访问的唯一来源 因为所有的通信必须通过 防火墙 绕过是困难的 基于应用程序信息验证一个包的状态的能力 例如基于一个已经建立的 FTP 连接 允许返回的 FTP 包通过 基于应用程序信息验证一个包状态的能力 例如允许一个先前认证过的连 接继续与被授予的服务通信 记录有关通过的每个包的详细信息的能力 基本上 防火墙用来确定包状 态的所有信息都可以被记录 包括应用程序对包的请求 连接的持续时间 内 部和外部系统所做的连接请求等 状态 动态检测防火墙的缺点 状态 动态检测防火墙唯一的缺点就是所有这些记录 测试和分析工作可能 会造成网络连接的某种迟滞 特别是在同时有许多连接激活的时候 或者是有 大量的过滤网络通信的规则存在时 可是 硬件速度越快 这个问题就越不易 察觉 而且防火墙的制造商一直致力于提高他们产品的速度 3 3 应用程序代理防火墙应用程序代理防火墙 使用应用程序代理防火墙的优点有 指定对连接的控制 例如允许或拒绝基于服务器 IP 地址的访问 或者是允 许或拒绝基于用户所请求连接的 IP 地址的访问 通过限制某些协议的传出请求 来减少网络中不必要的服务 大多数代理防火墙能够记录所有的连接 包括地址和持续时间 这些信息 对追踪攻击和发生的未授权访问的事件事很有用的 使用应用程序代理防火墙的缺点有 必须在一定范围内定制用户的系统 这取决于所用的应用程序 一些应用程序可能根本不支持代理连接 4 NAT4 NAT 使用 NAT 的优点有 所有内部的 IP 地址对外面的人来说是隐蔽的 因为这个原因 网络之外没 有人可以通过指定 IP 地址的方式直接对网络内的任何一台特定的计算机发起攻 击 如果因为某种原因公共 IP 地址资源比较短缺的话 NAT 可以使整个内部网 络共享一个 IP 地址 可以启用基本的包过滤防火墙安全机制 因为所有传入的包如果没有专门 指定配置到 NAT 那么就会被丢弃 内部网络的计算机就不可能直接访问外部 网络 使用 NAT 的缺点 NAT 的缺点和包过滤防火墙的缺点是一样的 虽然可以保障内部网络的安 全 但它也是一些类似的局限 而且内网可以利用现流传比较广泛的木马程序 可以通过 NAT 做外部连接 就像它可以穿过包过滤防火墙一样的容易 注意 现在有很多厂商开发的防火墙 特别是状态 动态检测防火墙 除了 它们应该具有的功能之外也提供了 NAT 的功能 5 5 个人防火墙个人防火墙 个人防火墙的优点有 增加了保护级别 不需要额外的硬件资源 个人防火墙除了可以抵挡外来攻击的同时 还可以抵挡内部的攻击 个人防火墙是对公共网络中的单个系统提供了保护 例如一个家庭用户使 用的是 Modem 或 ISDN ADSL 上网 可能一个硬件防火墙对于他来说实在是太昂 贵了 或者说是太麻烦了 而个人防火墙已经能够为用户隐蔽暴露在网络上的 信息 比如 IP 地址之类的信息等 个人防火墙的缺点 个人防火墙主要的缺点就