操作系统原理关于使用防火墙的缺点的探讨.docVIP

关于使用防火墙的缺点的探讨 【摘要】如今，知识渊博的黑客，均能利用网络防火墙开放的端口，巧妙躲过网络防火墙的监测，直接针对目标应用程序。他们想出复杂的攻击方法，能够绕过传统网络防火墙。据专家统计，目前70%的攻击是发生在应用层，而不是网络层。本文就对防火墙的基本知识特别是缺点进行了探讨。 【关键词】防火墙、网络安全、缺点 一、引言 随着防火墙技术的发展，其在信息安全体系中的地位越来越不可替代，网络安全的严峻形势也对防火墙技术的发展提出了更高、更新的要求。在越来越依赖防火墙技术的情况下，我们也应该清醒地认识到：防火墙并不是“包治百病”的，它对于一些特殊的攻击或其他行为有时也无能为力。所以，我们也应该了解其技术方面的一些局限性，毕竟没有任何一种技术能绝对保证安全。 二、防火墙的基本分类1.包过滤防火墙 使用包过滤防火墙对每条传入和传出网络的包实行低水平控制。每个IP包的字段都被检查，例如源地址、目的地址、协议、端口等。 使用包过滤防火墙的缺点包括： 配置困难。因为包过滤防火墙很复杂，人们经常会忽略建立一些必要的规则，或者错误配置了已有的规则，在防火墙上留下漏洞。然而，在市场上，许多新版本的防火墙对这个缺点正在作改进，如开发者实现了基于图形化用户界面(GUI)的配置和更直接的规则定义。 为特定服务开放的端口存在着危险，可能会被用于其他传输。例如，Web服务器默认端口为80，而计算机上又安装了RealPlayer，那么它会搜寻可以允许连接到RealAudio服务器的端口，而不管这个端口是否被其他协议所使用，RealPlayer正好是使用80端口而搜寻的。就这样无意中，RealPlayer就利用了Web服务器的端口。 可能还有其他方法绕过防火墙进入网络，例如拨入连接。但这个并不是防火墙自身的缺点，而是不应该在网络安全上单纯依赖防火墙的原因。 2.状态/动态检测防火墙 状态/动态检测防火墙检查IP包的每个字段的能力，并遵从基于包中信息的过滤规则。基本上，防火墙用来确定包状态的所有信息都可以被记录，包括应用程序对包的请求，连接的持续时间，内部和外部系统所做的连接请求等。 状态/动态检测防火墙的缺点： 状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞，特别是在同时有许多连接激活的时候，或者是有大量的过滤网络通信的规则存在时。可是，硬件速度越快，这个问题就越不易察觉，而且防火墙的制造商一直致力于提高他们产品的速度。 3.应用程序代理防火墙 使用应用程序代理防火墙指定对连接的控制，例如允许或拒绝基于服务器IP地址的访问，或者是允许或拒绝基于用户所请求连接的IP地址的访问。通过限制某些协议的传出请求，来减少网络中不必要的服务。使用应用程序代理防火墙的缺点有： 必须在一定范围内定制用户的系统，这取决于所用的应用程序。一些应用程序可能根本不支持代理连接。 4.NAT 使用NAT所有内部的IP地址对外面的人来说是隐蔽的。如果因为某种原因公共IP地址资源比较短缺的话，NAT可以使整个内部网络共享一个IP地址。使用NAT的缺点： NAT的缺点和包过滤防火墙的缺点是一样的。虽然可以保障内部网络的安全，但它也是一些类似的局限。而且内网可以利用现流传比较广泛的木马程序可以通过NAT做外部连接，就像它可以穿过包过滤防火墙一样的容易。 注意：现在有很多厂商开发的防火墙，特别是状态/动态检测防火墙，除了它们应该具有的功能之外也提供了NAT的功能。5.个人防火墙 个人防火墙增加了保护级别，不需要额外的硬件资源。个人防火墙除了可以抵挡外来攻击的同时，还可以抵挡内部的攻击。个人防火墙的缺点： 个人防火墙主要的缺点就是对公共网络只有一个物理接口。要记住，真正的防火墙应当监视并控制两个或更多的网络接口之间的通信。这样一来的话，个人防火墙本身可能会容易受到威胁，或者说是具有这样一个弱点，网络通信可以绕过防火墙的规则。荣海迅防火墙技术及其发展趋势剖析淮北职业技术学院学报2008.3[2]阎慧等著，防火墙原理与技术，北京：机械工业出版社，2004 [3]朱雁辉著，Windows防火墙与网络封包截获技术，北京：电子工业出版社，2002 [4]王睿等著，网络安全与防火墙技术，北京：清华大学出版社2000