防火牆的種類與作用-防火牆的缺點

導語：防火牆是現代信息技術的新生詞彙，主要是指電子計算機上用於防禦病毒入侵而設的壁壘，以下是小編整理的關於防火牆的種類以及作用作用介紹，歡迎小夥伴們閱讀參考。

防火牆的種類

第一種：硬件防火牆

這裏說的硬件防火牆是指所謂的硬件防火牆。之所以加上"所謂"二字是針對芯片級防火牆說的了。它們最大的差別在於是否基於專用的硬件平臺。目前市場上大多數防火牆都是這種所謂的硬件防火牆，他們都基於PC架構，就是說，它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統，最常用的有老版本的Unix、Linux和FreeBSD系統。 值得注意的是，由於此類防火牆採用的依然是別人的內核，因此依然會受到os本身的安全性影響。國內的許多防火牆產品就屬於此類，因爲採用的是經過裁減內核和定製組件的平臺，因此國內防火牆的某些銷售人員常常吹噓其產品是“專用的os”等等，其實是一個概念誤導，下面我們提到的第三種防火牆纔是真正的os專用。

第二種：芯片級防火牆

它們基於專門的硬件平臺，沒有操作系統。專有的ASIC芯片促使它們比其他種類的防火牆速度更快，處理能力更強，性能更高。做這類防火牆最出名的廠商莫過於NetScreen.其他的品牌還有FortiNet,算是後起之秀了。這類防火牆由於是專用OS,因此防火牆本身的漏洞比較少，不過價格相對比較高昂，所以一般只有在“確實需要”的情況下才考慮。

第三種：軟件防火牆

軟件防火牆運行於特定的計算機上，它需要客戶預先安裝好的計算機操作系統的支持，一般來說這臺計算機就是整個網絡的網關。軟件防火牆就象其它的軟件產品一樣需要先在計算機上安裝並做好配置纔可以使用。防火牆廠商中做網絡版軟件防火牆最出名的莫過於Checkpoint。使用這類防火牆，需要網管對所工作的操作系統平臺比較熟悉。

防火牆的作用

1.包過濾

具備包過濾的.就是防火牆?對，沒錯!根據對防火牆的定義，凡是能有效阻止網絡非法連接的方式，都算防火牆。早期的防火牆一般就是利用設置的條件，監測通過的包的特徵來決定放行或者阻止的，包過濾是很重要的一種特性。雖然防火牆技術發展到現在有了很多新的理念提出，但是包過濾依然是非常重要的一環，如同四層交換機首要的仍是要具備包的快速轉發這樣一個交換機的基本功能一樣。通過包過濾，防火牆可以實現阻擋攻擊，禁止外部/內部訪問某些站點，限制每個ip的流量和連接數。

2.包的透明轉發

事實上，由於防火牆一般架設在提供某些服務的服務器前。如果用示意圖來表示就是 Server—FireWall—Guest 。用戶對服務器的訪問的請求與服務器反饋給用戶的信息，都需要經過防火牆的轉發,因此，很多防火牆具備網關的能力。

3.阻擋外部攻擊

如果用戶發送的信息是防火牆設置所不允許的，防火牆會立即將其阻斷，避免其進入防火牆之後的服務器中。

4.記錄攻擊

如果有必要，其實防火牆是完全可以將攻擊行爲都記錄下來的，但是由於出於效率上的考慮，目前一般記錄攻擊的事情都交給IDS來完成了，我們在後面會提到。

以上是所有防火牆都具備的基本特性，雖然很簡單，但防火牆技術就是在此基礎上逐步發展起來的。

防火牆的缺點和不足

1.防火牆可以阻斷攻擊，但不能消滅攻擊源。

“各掃自家門前雪，不管他人瓦上霜”，就是目前網絡安全的現狀。互聯網上病毒、木馬、惡意試探等等造成的攻擊行爲絡繹不絕。設置得當的防火牆能夠阻擋他們，但是無法清除攻擊源。即使防火牆進行了良好的設置，使得攻擊無法穿透防火牆，但各種攻擊仍然會源源不斷地向防火牆發出嘗試。例如接主幹網10M網絡帶寬的某站點，其日常流量中平均有512K左右是攻擊行爲。那麼，即使成功設置了防火牆後，這512K的攻擊流量依然不會有絲毫減少。

2.防火牆不能抵抗最新的未設置策略的攻擊漏洞

就如殺毒軟件與病毒一樣，總是先出現病毒，殺毒軟件經過分析出特徵碼後加入到病毒庫內才能查殺。防火牆的各種策略，也是在該攻擊方式經過專家分析後給出其特徵進而設置的。如果世界上新發現某個主機漏洞的cracker的把第一個攻擊對象選中了您的網絡，那麼防火牆也沒有辦法幫到您的。

3.防火牆的併發連接數限制容易導致擁塞或者溢出

由於要判斷、處理流經防火牆的每一個包，因此防火牆在某些流量大、併發請求多的情況下，很容易導致擁塞，成爲整個網絡的瓶頸影響性能。而當防火牆溢出的時候，整個防線就如同虛設，原本被禁止的連接也能從容通過了。

4.防火牆對服務器合法開放的端口的攻擊大多無法阻止

某些情況下，攻擊者利用服務器提供的服務進行缺陷攻擊。例如利用開放了3389端口取得沒打過sp補丁的win2k的超級權限、利用asp程序進行腳本攻擊等。由於其行爲在防火牆一級看來是“合理”和“合法”的，因此就被簡單地放行了。

5.防火牆對待內部主動發起連接的攻擊一般無法阻止

“外緊內鬆”是一般局域網絡的特點。或許一道嚴密防守的防火牆內部的網絡是一片混亂也有可能。通過社會工程學發送帶木馬的郵件、帶木馬的URL等方式，然後由中木馬的機器主動對攻擊者連接，將鐵壁一樣的防火牆瞬間破壞掉。另外，防火牆內部各主機間的攻擊行爲，防火牆也只有如旁觀者一樣冷視而愛莫能助。

6.防火牆本身也會出現問題和受到攻擊

防火牆也是一個os，也有着其硬件系統和軟件，因此依然有着漏洞和bug。所以其本身也可能受到攻擊和出現軟/硬件方面的故障。

7.防火牆不處理病毒

不管是funlove病毒也好，還是CIH也好。在內部網絡用戶下載外網的帶毒文件的時候，防火牆是不爲所動的(這裏的防火牆不是指單機/企業級的殺毒軟件中的實時監控功能，雖然它們不少都叫“病毒防火牆”)。