防火墙十大局限性

计算机网络安全防护中防火墙的局限性计算机网络安全是指对计算机网络系统进行保护和防范，以避免受到黑客攻击，数据泄露，木马病毒以及其他安全隐患的侵袭。

作为一种重要的网络安全防护设备，防火墙是计算机网络安全防护中的重要组成部分。

防火墙可以根据设置的安全策略对网络通信进行过滤，阻止恶意程序的入侵或流量攻击。

但是，防火墙在实际应用中存在一定的局限性。

本文将从以下几个方面对防火墙的局限性进行阐述：一、数据包的开销问题防火墙需要对网络通信进行深度分析，从而能够实现网络流量的过滤和控制。

然而，这种深度分析需要对数据包进行额外的处理，这会带来相应的开销。

在高流量环境下使用防火墙可能会导致系统性能下降，影响网络流量的传输速度。

二、应用层协议的支持问题应用层协议是网络应用程序使用的协议，例如FTP、HTTP和SMTP等。

但是，由于应用层协议的复杂性和多样性，防火墙可能无法完全支持所有的应用层协议。

这种情况下，防火墙的过滤效果将受到限制，无法阻止一些应用层攻击，例如SQL注入攻击和跨站脚本攻击。

三、防护策略的粒度问题防火墙的防护粒度通常是基于IP地址、端口号和协议类型等基本属性进行的，这种防护策略对大规模网络的防护效果会有很大的局限性。

例如，对于攻击流量来自大量不同的IP地址和端口号时，防火墙会很难进行有效的防护。

此时，攻击者可能会通过变换源IP地址和端口号来绕过防火墙，影响防护效果。

四、内部威胁的防护问题防火墙通常是放置在网络边界上，通过对进出流量进行过滤来保护网络安全。

但是，防火墙只能防范外部攻击和入侵，对内部攻击和内部威胁的防护能力较弱。

例如，内部员工可能会利用自己的权限进行数据窃取或安装恶意软件，导致网络安全受到威胁。

五、应急响应问题一旦网络遭受黑客攻击，防火墙可以帮助确定攻击来源、攻击目标和攻击方式等信息。

但是，防火墙无法精准地识别和定位恶意程序，也不能有效地清除恶意软件。

因此，防火墙在应对网络应急事件时的功能有限，需要配合其他安全设备进行完整的应急响应工作。

防火墙的局限性
1、防火墙可以阻断攻击，但不能消灭攻击源：“各扫自家门前雪，不管他人瓦上霜”，就是目前网络安全的现状。

互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。

设置得当的防火墙能够阻挡他们，但是无法清除攻击源。

2、防火墙不能抵抗最新的未设置策略的攻击漏洞：就如杀毒软件与病毒一样，总是先出现病毒，杀毒软件经过分析出特征码后加入到病毒库内才能查杀。

防火墙的各种策略，也是在该攻击方式经过专家分析后给出其特征进而设置的。

3、防火墙的并发连接数限制容易导致拥塞或者溢出：由于要判断、处理流经防火墙的每一个包，因此防火墙在某些流量大、并发请求多的情况下，很容易导致拥塞，成为整个网络的瓶颈影响性能。

而当防火墙溢出的时候，整个防线就如同虚设。

4、防火墙对服务器合法开放的端口的攻击大多无法阻止：某些情况下，攻击者利用服务器提供的服务进行缺陷攻击。

例如利用开放了 3389 端口取得没打过 sp 补丁的 win2k 的超级权限、利用 asp 程序进行脚本攻击等。

5、防火墙对的内部主动发起的连接攻击一般无法阻止：防火墙对外部的一些攻击可以进行有效的防御，但是那些木马通过内部实施的攻击行为则无法进行防护。

6、防火墙本身也会出现问题和受到攻击：防火墙也是一个交互系统，也有硬件和软件系统因此也存在漏洞和 BUG，所以其本身也可能受到攻击和出现软硬件方面故障。

传统防火墙存在的五大不足之处黑客之所以能够攻击用户，都是利用了防火墙开放的端口，躲过防火墙的监测，直接针对目标应用程序。

他们想出复杂的攻击方法，能够绕过传统防火墙。

据统计，目前70%的攻击是发生在应用层，而不是网络层。

对于这类攻击，传统防火墙的防护效果，并不太理想，存在着以下不足之处：黑客之所以能够攻击用户，都是利用了防火墙开放的端口，躲过防火墙的监测，直接针对目标应用程序。

他们想出复杂的攻击方法，能够绕过传统防火墙。

据统计，目前70%的攻击是发生在应用层，而不是网络层。

对于这类攻击，传统防火墙的防护效果，并不太理想，存在着以下不足之处：1、无法检测加密的Web流量如果你正在部署一个门户网站，希望所有的网络层和应用层的漏洞都被屏蔽在应用程序之外。

这个需求，对于传统的网络防火墙而言，是个大问题。

由于网络防火墙对于加密的SSL流中的数据是不可见的，防火墙无法迅速截获SSL数据流并对其解密，因此无法阻止应用程序的攻击，甚至有些网络防火墙，根本就不提供数据解密的功能。

2、普通应用程序加密后，也能轻易躲过防火墙的检测网络防火墙无法看到的，不仅仅是SSL加密的数据。

对于应用程序加密的数据，同样也不可见。

在如今大多数网络防火墙中，依赖的是静态的特征库，与入侵监测系统(IDS，Intrusion Detect System)的原理类似。

只有当应用层攻击行为的特征与防火墙中的数据库中已有的特征完全匹配时，防火墙才能识别和截获攻击数据。

但如今，采用常见的编码技术，就能够地将恶意代码和其他攻击命令隐藏起来，转换成某种形式，既能欺骗前端的网络安全系统，又能够在后台服务器中执行。

这种加密后的攻击代码，只要与防火墙规则库中的规则不一样，就能够躲过网络防火墙，成功避开特征匹配。

3、对于Web应用程序，防范能力不足网络防火墙于1990年发明，而商用的Web服务器，则在一年以后才面世。

基于状态检测的防火墙，其设计原理，是基于网络层TCP和IP地址，来设置与加强状态访问控制列表(ACLs，Access Control Lists)。

简述防火墙的功能及不足之处
防火墙是一种设置在不同网络或网络安全域之间的安全屏障，主要用于保护内部网络不受外部攻击。

其主要功能包括：1.阻止未经授权的访问和数据传输：防火墙通过限制对内
部网络的访问，阻止恶意用户和黑客的入侵。

2.记录和监控网络活动：防火墙可以记录和监控网络中的
数据流，以便管理员能够发现潜在的安全威胁。

3.防止内部信息的泄露：防火墙可以阻止敏感信息的流出，
保护企业的机密信息不被泄露。

然而，防火墙也存在一些不足之处：
1.无法完全防止新的攻击方式：由于防火墙依赖于预定义
的规则和策略，对于未知或新的攻击方式，防火墙可能无法有效防御。

2.对内部网络的保护有限：防火墙主要针对外部攻击进行
防护，对于来自内部网络的威胁，防火墙的保护作用有限。

3.可能影响网络性能：由于防火墙需要进行数据包过滤和
检查，因此在某些情况下可能会影响网络的性能。

因此，虽然防火墙是保护网络安全的重要手段之一，但不能完全依赖防火墙来确保网络安全。

需要结合其他安全措施，如加密技术、入侵检测系统等，来提高整个网络的安全性。

防火墙的普遍缺陷及利用防火墙是我们电脑里必不可少的一个安全防护软件，它可以防止可疑软件进行网络连接，有效的阻止木马病毒，但是我前段时间研究MS07035漏洞时却很偶然的发现一个很多防火墙都存在的缺陷。

这个缺陷的表现为防火墙因别错误而无法拦截或无法正确获得进程文件路径，这个缺陷经我测试，属于银行的防火墙非常的多，我测试了很多的防火墙，还有一些因为时间原因，就没有继续测试，但是经过测试的防火墙产品来看，这个缺陷应该是普遍存在的。

一.缺陷症状我们使用两两个经过特殊构造的执行程序来也是该缺陷。

执行程序aaaaaa....，aaaaa.exe和bbbbbb..........，bbbbbb.exe。

名称中的..........分别代表N个a或b，为什么需要这种形式我稍后再说明，在后面的叙述中，为了方便就简称为a.exe和b.exe。

这两个程序一个以TCP网是连接端口为9999的聊天程序，a.exe为服务端，b.exe为客户端。

为了测试的准确性可将a.exe与b.exe放置于两台计算机上。

该程序运行后将伪装为IEXPLORE.EXE访问网络。

测试结果为：1.金山网镖没出任何提示，直接穿越防火墙，获得进程名完全错误。

1.天网个人防火墙提示程序被修改了，无法获取实际进程名。

2.瑞星个人防火墙下载版没有出现任何提示，直接穿越防火墙。

虽然通过查看cmdline可以看到真实进程，但是其进程名完全错误。

3.费尔个人防火墙没有出现任何提示，直接穿越防火墙，获得进程名称完全错误。

看过这些结果，相信大家都和我第一次发现该缺陷是一样的惊讶。

这个缺陷的危害相信也不用我多说了，大家也该明白为什么说这是缺陷而不是漏洞了吧！因为防火墙并没有失效，只是被软件骗了。

二.陷阱原理篇程序是怎么做到欺骗的呢？编写过程序的朋友一定知道一个名为GetModuleFileName的函数。

该函数可以返回同进程的路径全名，比如C:\pro-gram files\lnternet explorer\IEXPLORE.EXE，那么这些信息是哪里来的呢！使用OIIyDBG加载调试一个a.exe文件，OD停在入口点后按ALT+M组合键打开内存窗口，右键双击地址为00020000的那一行。

传统防火墙存在的五大不足之处黑客之所以能够攻击用户，都是利用了防火墙开放的端口，躲过防火墙的监测，直接针对目标应用程序。

他们想出复杂的攻击方法，能够绕过传统防火墙。

据统计，目前70%的攻击是发生在应用层，而不是网络层。

对于这类攻击，传统防火墙的防护效果，并不太理想，存在着以下不足之处：黑客之所以能够攻击用户，都是利用了防火墙开放的端口，躲过防火墙的监测，直接针对目标应用程序。

他们想出复杂的攻击方法，能够绕过传统防火墙。

据统计，目前70%的攻击是发生在应用层，而不是网络层。

对于这类攻击，传统防火墙的防护效果，并不太理想，存在着以下不足之处：1、无法检测加密的Web流量如果你正在部署一个门户网站，希望所有的网络层和应用层的漏洞都被屏蔽在应用程序之外。

这个需求，对于传统的网络防火墙而言，是个大问题。

由于网络防火墙对于加密的SSL流中的数据是不可见的，防火墙无法迅速截获SSL数据流并对其解密，因此无法阻止应用程序的攻击，甚至有些网络防火墙，根本就不提供数据解密的功能。

2、普通应用程序加密后，也能轻易躲过防火墙的检测网络防火墙无法看到的，不仅仅是SSL加密的数据。

对于应用程序加密的数据，同样也不可见。

在如今大多数网络防火墙中，依赖的是静态的特征库，与入侵监测系统(IDS，Intrusion Detect System)的原理类似。

只有当应用层攻击行为的特征与防火墙中的数据库中已有的特征完全匹配时，防火墙才能识别和截获攻击数据。

但如今，采用常见的编码技术，就能够地将恶意代码和其他攻击命令隐藏起来，转换成某种形式，既能欺骗前端的网络安全系统，又能够在后台服务器中执行。

这种加密后的攻击代码，只要与防火墙规则库中的规则不一样，就能够躲过网络防火墙，成功避开特征匹配。

3、对于Web应用程序，防范能力不足网络防火墙于1990年发明，而商用的Web服务器，则在一年以后才面世。

基于状态检测的防火墙，其设计原理，是基于网络层TCP和IP地址，来设置与加强状态访问控制列表(ACLs，Access Control Lists)。

二、各类防火墙的优缺点1.包过滤防火墙使用包过滤防火墙的优点包括：防火墙对每条传入和传出网络的包实行低水平控制。

每个IP包的字段都被检查，例如源地址、目的地址、协议、端口等。

防火墙将基于这些信息应用过滤规则。

防火墙可以识别和丢弃带欺骗性源IP地址的包。

包过滤防火墙是两个网络之间访问的唯一来源。

因为所有的通信必须通过防火墙，绕过是困难的。

包过滤通常被包含在路由器数据包中，所以不必额外的系统来处理这个特征。

使用包过滤防火墙的缺点包括：配置困难。

因为包过滤防火墙很复杂，人们经常会忽略建立一些必要的规则，或者错误配置了已有的规则，在防火墙上留下漏洞。

然而，在市场上，许多新版本的防火墙对这个缺点正在作改进，如开发者实现了基于图形化用户界面（GUI）的配置和更直接的规则定义。

为特定服务开放的端口存在着危险，可能会被用于其他传输。

例如，Web服务器默认端口为80，而计算机上又安装了RealPlayer，那么它会搜寻可以允许连接到RealAudio服务器的端口，而不管这个端口是否被其他协议所使用，RealPlayer正好是使用80端口而搜寻的。

就这样无意中，RealPlayer就利用了Web服务器的端口。

可能还有其他方法绕过防火墙进入网络，例如拨入连接。

但这个并不是防火墙自身的缺点，而是不应该在网络安全上单纯依赖防火墙的原因。

2.状态/动态检测防火墙状态/动态检测防火墙的优点有：检查IP包的每个字段的能力，并遵从基于包中信息的过滤规则。

识别带有欺骗性源IP地址包的能力。

包过滤防火墙是两个网络之间访问的唯一来源。

因为所有的通信必须通过防火墙，绕过是困难的。

基于应用程序信息验证一个包的状态的能力，例如基于一个已经建立的FTP连接，允许返回的FTP包通过。

基于应用程序信息验证一个包状态的能力，例如允许一个先前认证过的连接继续与被授予的服务通信。

记录有关通过的每个包的详细信息的能力。

基本上，防火墙用来确定包状态的所有信息都可以被记录，包括应用程序对包的请求，连接的持续时间，内部和外部系统所做的连接请求等。