防火墙的局限性 随着网络技术的发展,网络结构日趋复杂,传 统的防火墙在使用过程中暴露出以下局限性 防火墙不能防范不经过防火墙的攻击。如拨 号访问、内部攻击等。 防火墙不能解决来自內部网络的攻击和安全 问题。 防火墙不能防止策略配置不当或错误配置引 起的安全威胁。 防火墙不能防止利用标准网络协议中的缺陷 进行的攻击
防火墙的局限性 随着网络技术的发展,网络结构日趋复杂,传 统的防火墙在使用过程中暴露出以下局限性 : • 防火墙不能防范不经过防火墙的攻击。如拨 号访问、内部攻击等。 • 防火墙不能解决来自内部网络的攻击和安全 问题。 • 防火墙不能防止策略配置不当或错误配置引 起的安全威胁。 • 防火墙不能防止利用标准网络协议中的缺陷 进行的攻击
旦防火墙准许某些标准网络协议,就不能防 止利用该协议中的缺陷进行的攻击 防火墙不能防止利用服务器系统漏洞所进行 的攻击。 黑客通过防火墙准许的访问端口对该服务器 的漏洞进行攻击,防火墙阻止不了。 防火墙不能防止受病毒感染的文件的传输。 防火墙本身不具备查杀病毒的功能
一旦防火墙准许某些标准网络协议,就不能防 止利用该协议中的缺陷进行的攻击。 • 防火墙不能防止利用服务器系统漏洞所进行 的攻击。 黑客通过防火墙准许的访问端口对该服务器 的漏洞进行攻击,防火墙阻止不了。 • 防火墙不能防止受病毒感染的文件的传输。 防火墙本身不具备查杀病毒的功能
防火墙不能防止数据驱动式的攻击。有些表 面看来无害的数据邮寄或拷贝到内部网的主 机上并被执行时,可能会发生数据驱动式的 攻击。(缓冲区溢出攻击) 防火墙不能防止可接触的人为或自然的破坏 例如恶劣环境、人为损坏 ·防火墙不能防止本身的安全漏洞的威胁。目 前还没有厂商绝对保证防火墙不会存在安全 漏洞
• 防火墙不能防止数据驱动式的攻击。有些表 面看来无害的数据邮寄或拷贝到内部网的主 机上并被执行时,可能会发生数据驱动式的 攻击。(缓冲区溢出攻击) • 防火墙不能防止可接触的人为或自然的破坏 。例如恶劣环境、人为损坏。 • 防火墙不能防止本身的安全漏洞的威胁。目 前还没有厂商绝对保证防火墙不会存在安全 漏洞
防火墙的发展简史 包过滤 代理状态检测自适应代理 1983 19911994 1998 1980年 2000 年
防火墙的发展简史
阶段划分: 20世纪80年代,最早的防火墙几乎与路由器同时出 现,第一代防火墙主要基于包过滤技术,是依附于 路由器的包过滤功能实现的防火墙;随着网络安全 重要性和性能要求的提高,防火墙渐渐发展为一个 独立结构的、有专门功能的设备。 到20世纪90年代初,开始推出应用层防火墙,或者 叫做代理防火墙。 (从内部发出的数据包经过这样的防火墙处理后,就 好像是源于防火墙外部网卡一样,从而可以达到隐 藏内部网结构的作用。)
阶段划分: • 20世纪80年代,最早的防火墙几乎与路由器同时出 现,第一代防火墙主要基于包过滤技术,是依附于 路由器的包过滤功能实现的防火墙;随着网络安全 重要性和性能要求的提高,防火墙渐渐发展为一个 独立结构的、有专门功能的设备。 • 到20世纪90年代初,开始推出应用层防火墙,或者 叫做代理防火墙。 (从内部发出的数据包经过这样的防火墙处理后,就 好像是源于防火墙外部网卡一样,从而可以达到隐 藏内部网结构的作用。 )