|
知识路径: > 防火墙技术原理与应用 > 防火墙概述 > 防火墙安全隐患 >
|
相关知识点:3个
|
|
|
|
尽管防火墙有许多防范功能,但也有一些力不能及的地方。采用防火墙安全措施的网络仍然存在以下网络安全风险。
|
|
|
(1)网络安全旁路。防火墙只能对通过它的网络通信包进行访问控制,而未经过它的网络通信就无能为力。例如,如果允许从内部网络直接拨号访问外部网,则防火墙就失效,攻击者通过用户拨号连接直接访问内部网,绕过防火墙控制,造成潜在的攻击途径。
|
|
|
(2)防火墙功能缺陷,导致一些网络威胁无法阻断。防火墙的安全功能存在脆弱点,使得一些网络安全威胁可以通过防火墙的安全规则控制,主要安全缺陷如下。
|
|
|
. 防火墙不能完全防止感染病毒的软件或文件传输。防火墙是网络通信的瓶颈,因为已有的病毒、操作系统以及加密和压缩二进制文件的种类太多,以致不能指望防火墙逐个扫描每个文件查找病毒,只能在每台主机上安装反病毒软件。
|
|
|
. 防火墙不能防止基于数据驱动式的攻击。当有些表面看来无害的数据被邮寄或复制到主机上并被执行而发起攻击时,就会发生数据驱动攻击效果。防火墙对此无能为力。
|
|
|
. 防火墙不能完全防止后门攻击。防火墙是粗粒度的网络访问控制,某些基于网络隐蔽通道的后门能绕过防火墙的控制。例如http tunnel等。
|
|
|
(3)防火墙安全机制形成单点故障和特权威胁。防火墙处于不同网络安全区域之间,所有区域之间的通信都经过防火墙,受其控制,从而形成安全特权。一旦防火墙自身的安全管理失效,就会对网络造成单点故障和网络安全特权失控。
|
|
|
(4)防火墙无法有效防范内部威胁。处于防火墙保护的内网用户一旦操作失误,网络攻击者就能利用内部用户发起主动网络连接,从而可以躲避防火墙的安全控制。
|
|
|
(5)防火墙效用受限于安全规则。防火墙依赖于安全规则更新,特别是采用黑名单策略的防火墙,一旦安全规则更新不及时,极易导致防火墙的保护功能失效。
|
|
|