防火墙的优缺点

随着网络的广泛应用和普及，网络入侵行为、病毒破坏、垃圾邮件的处理以及普遍存在的安全话题也成了人们日趋关注的焦点，作为网络边界的第一道防线，防火墙技术也已经逐步趋于成熟，并为广大用户所认可，但防火墙所暴露的问题也慢慢地凸现出来。防火墙的主要优缺点如下：

1. 防火墙的主要优点

◆ 允许网络管理员定义一个中心点来防止非法用户进入内部网络。

◆ 可以很方便地监视网络的安全性，并报警。

◆ 可以作为一个部署网络地址变换NAT（Network Address Translation）的地点，利用NAT技术，可将有限的IP地址动态或静态地址与内部的IP地址对应起来，用来缓解地址空间短缺的问题。

◆ 是审计和记录Internet使用的一个最佳地点。

◆ 可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW服务器和FTP服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的停火区（DeMilitarized Zone，DMZ）。

2. 防火墙的主要局限性

◆ 防火墙无法防范绕过防火墙的攻击。例如：当拨号进行连接时，就不会通过防火墙。

◆ 防火墙不能防范内部威胁。例如：当防火墙内部的一个合法用户主动泄密时，防火墙是无能为力的。

◆ 防火墙无法防范被病毒程序感染的文件的传播，因为防火墙本身并不具备查杀病毒的功能，而且即使集成了第三方的防病毒的软件，也没有一种软件可以查杀所有的病毒；另外，防火墙的安全性是建立在对数据的检查之上的，检查越细则速度越慢，因此，让防火墙扫描所有传入的文件以及电子邮件等也是不切实际的。

◆ 防火墙是一个被动的既定安全策略执行设备，因此，防火墙只能防御已知的威胁，而不能防御新的未知的威胁。

◆ 防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议，则不能防止利用该协议中的缺陷进行的攻击。

◆ 防火墙不能防止利用服务器或操作系统的漏洞所进行的攻击。若黑客通过防火墙准许的访问端口对该服务器或操作系统的漏洞进行攻击，则防火墙将无法防止。

◆ 防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。

◆ 防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己，目前还没有厂商绝对保证防火墙不会存在安全漏洞。因此，对防火墙也必须提供某种安全保护。

◆ 防火墙无法区分恶意命令还是善意命令。有很多命令对管理员而言，是一项合法命令，而在黑客手里就可能是一个危险的命令。