防火墙是网络上使用最多的安全设备，是网络安全的重要基石.docVIP

防火牆是網絡上使用最多的安全設備，是網絡安全的重要基石。防火牆廠商為了占領市場，對防火牆的宣傳越來越多，市場出現了很多錯誤的東西。其中一個典型的錯誤，是把防火牆萬能化。但2002年8月的《計算機安全》中指出，防火牆的攻破率已經超過47%。正確認識和使用防火牆，確保網絡的安全使用，研究防火牆的局限性和脆弱性已經十分必要。防火牆十大局限性一、防火牆不能防范不經過防火牆的攻擊。沒有經過防火牆的數據，防火牆無法檢查。二、防火牆不能解決來自內部網絡的攻擊和安全問題。防火牆可以設計為既防外也防內，誰都不可信，但絕大多數單位因為不方便，不要求防火牆防內。三、防火牆不能防止策略配置不當或錯誤配置引起的安全威脅。防火牆是一個被動的安全策略執行設備，就像門衛一樣，要根據政策規定來執行安全，而不能自作主張。四、防火牆不能防止可接觸的人為或自然的破壞。防火牆是一個安全設備，但防火牆本身必須存在于一個安全的地方。五、防火牆不能防止利用標准網絡協議中的缺陷進行的攻擊。一旦防火牆准許某些標准網絡協議，防火牆不能防止利用該協議中的缺陷進行的攻擊。六、防火牆不能防止利用服務器系統漏洞所進行的攻擊。黑客通過防火牆准許的訪問端口對該服務器的漏洞進行攻擊，防火牆不能防止。七、防火牆不能防止受病毒感染的文件的傳輸。防火牆本身並不具備查殺病毒的功能，即使集成了第三方的防病毒的軟件，也沒有一種軟件可以查殺所抠??的病毒。八、防火牆不能防止數據驅動式的攻擊。當有些表面看來無害的數據郵寄或拷貝到內部網的主機上並被執行時，可能會發生數據驅動式的攻擊。九、防火牆不能防止內部的泄密行為。防火牆內部的一個合法用戶主動泄密，防火牆是無能為力的。十、防火牆不能防止本身的安全漏洞的威脅。防火牆保護別人有時卻無法保護自己，目前還沒有廠商絕對保證防火牆不會存在安全漏洞。因此對防火牆也必須提供某種安全保護。防火牆十大脆弱性一、防火牆的操作系統不能保證沒有漏洞。目前還沒有一家防火牆廠商說，其防火牆沒有操作系統。有操作系統就不能絕對保證沒有安全漏洞。二、防火牆的硬件不能保證不失效。所有的硬件都有一個生命周期，都會老化，總有失效的一天。三、防火牆軟件不能保證沒有漏洞。防火牆軟件也是軟件，是軟件就會有漏洞。四、防火牆無法解決TCP/IP等協議的漏洞。防火牆本身就是基于TCP/IP等協議來實現的，就無法解決TCP/IP操作的漏洞。五、防火牆無法區分惡意命令還是善意命令。有很多命令對管理員而言，是一項合法命令，而在黑客手里就可能是一個危險的命令。六、防火牆無法區分惡意流量和善意流量。一個用戶使用PING命令，用作網絡診斷和網絡攻擊，從流量上是沒有差異的。七、防火牆的安全性與多功能成反比。多功能與防火牆的安全原則是背道而馳的。因此，除非確信需要某些功能，否則，應該功能最小化。八、防火牆的安全性和速床 |成反比。防火牆的安全性是建立在對數據的檢查之上，檢查越細越安全，但檢查越細速度越慢。九、防火牆的多功能與速度成反比。防火牆的功能越多，對CPU和內存的消耗越大，功能越多，檢查的越多，速度越慢。十、防火牆無法保證准許服務的安全性。防火牆准許某項服務，卻不能保證該服務的安全性。准許服務的安全性問題必須由應用安全來解決。 =====================================================define========================================== 1.什麼是入侵檢測 入侵檢測就是一個監視計算機系統或者網絡上發生的事件，然後對其進行安全分析的過程。大多數的入侵檢測系統都可以被歸入到基于網絡、基于主機以及分布式三類。基于網絡的入侵檢測系統能夠監視網絡數據發現入侵或者攻擊的蛛絲馬蹟；基于主機的入侵檢測系統能夠監視針對主機的活動(用戶的命令、登錄/退出過程，使用的數據等等)，以此來判斷入侵企圖；分布式IDS通過分布于各個節點的傳感器或者代理對整個網絡和主機環境進行監視，中心監視平台收集來自各個節點的信息監視這個網絡流動的數據和入侵企圖。 各種入侵檢測系統使用的檢測方法可以分為兩類：基于特征碼的檢測方法和異常檢測。使用基于特征碼檢測方法的系統從網絡獲得數據，然後從中發現以知的攻擊特征。例如：在某些URL中包含一些奇怪的Unicode編碼字符就是針對IISUnicode缺陷的攻擊特征。此外各種模式匹配技術的應用，提高了這種檢測方法的精確性。使用異常檢測的系統能夠把獲得的數據與一個基准進行比較，檢測這些數據是否異常。例如：如果一個雇員的工作時間是上9點到下午5點，但是在某個晚上他的計算機記錄了他曾經在半夜登錄了公司的郵件服務器，這就是一個異常事件，需要深入調查。現在