防火牆安全性能分析和搭配
在論壇上經常看見有人說他們只單單用一個防火牆,我自已使用趨勢PC-cillin加集成防火牆,另外還加+Looknstop, 我總覺的不太安全,今天到網上去搜了一下,發現了許多東西,其實從我們現階段網絡使用最多的安全設備和***檢測發現,防火牆其實是很脆弱的,也有他的侷限性。
列如下幾點:
1、防火牆不能防範不經過防火牆的***。沒有經過防火牆的數據,防火牆無法檢查,比如撥號上網。
2、防火牆不能解決來自內部網絡的***和安全問題。"外緊內鬆"是一般局域網絡的特點,一道嚴密防守的防火牆其內部的網絡也有可能是一片混亂。如通過社會工程學發送帶***的郵件、帶***的URL等方式,然後由中***的機器主動對***者連接,將瞬間破壞象鐵壁一樣的防火牆。另外,防火牆內部各主機間的***行爲,防火牆也只能如旁觀者一樣冷視而愛莫能助。
3、防火牆不能防止最新的未設置策略或錯誤配置引起的安全威脅。防火牆的各種策略,也是在該***方式經過專家分析後給出其特徵進而設置的。如果世界上新發現某個主機漏洞的cracker把第一個***對象選中了您的網絡,那麼防火牆也沒有辦法幫到您。
4、防火牆不能防止可接觸的人爲或自然的破壞。防火牆是一個安全設備,但防火牆本身必須存在於一個安全的地方。
5、防火牆無法解決TCP/IP等協議的漏洞。防火牆本身就是基於TCP/IP等協議來實現的,就無法解決TCP/IP操作的漏洞。比如利用DOS或DDOS***。
6、防火牆對服務器合法開放的端口的***大多無法阻止。例如利用開放了3389端口取得沒打過sp補丁的win2k的超級權限、利用asp程序進行腳本***等。由於其行爲在防火牆一級看來是"合理"和"合法"的,因此就被簡單地放行了。
7、防火牆不能防止受病毒感染的文件的傳輸。防火牆本身並不具備查殺病毒的功能,即使集成了第三方的防病毒軟件,也沒有一種軟件可以查殺所有的病毒。
8、防火牆不能防止數據驅動式的***。當有些表面看來無害的數據郵寄或拷貝到內部網的主機上並被執行時,可能會發生數據驅動式的***。
9、防火牆不能防止內部的泄密行爲。防火牆內部的一個合法用戶主動泄密,防火牆對此是無能爲力的。
10、防火牆不能防止本身安全漏洞的威脅。防火牆保護別人有時卻無法保護自己,因爲目前還沒有廠商絕對保證防火牆不會存在安全漏洞。防火牆也是一個OS,也有着其硬件系統和軟件,因此依然有着漏洞和bug。所以其本身也可能受到***和出現軟/硬件方面的故障。
從上面可以看出,防火牆和殺毒配合使用纔是正道,如:PC-cillin外加looknstop會比較安全,另外,也可自個設置一下集成的PCC防火牆,PCC+ZA不是很好配,或者配天網,瑞星要用全一套等等。。。
列如下幾點:
1、防火牆不能防範不經過防火牆的***。沒有經過防火牆的數據,防火牆無法檢查,比如撥號上網。
2、防火牆不能解決來自內部網絡的***和安全問題。"外緊內鬆"是一般局域網絡的特點,一道嚴密防守的防火牆其內部的網絡也有可能是一片混亂。如通過社會工程學發送帶***的郵件、帶***的URL等方式,然後由中***的機器主動對***者連接,將瞬間破壞象鐵壁一樣的防火牆。另外,防火牆內部各主機間的***行爲,防火牆也只能如旁觀者一樣冷視而愛莫能助。
3、防火牆不能防止最新的未設置策略或錯誤配置引起的安全威脅。防火牆的各種策略,也是在該***方式經過專家分析後給出其特徵進而設置的。如果世界上新發現某個主機漏洞的cracker把第一個***對象選中了您的網絡,那麼防火牆也沒有辦法幫到您。
4、防火牆不能防止可接觸的人爲或自然的破壞。防火牆是一個安全設備,但防火牆本身必須存在於一個安全的地方。
5、防火牆無法解決TCP/IP等協議的漏洞。防火牆本身就是基於TCP/IP等協議來實現的,就無法解決TCP/IP操作的漏洞。比如利用DOS或DDOS***。
6、防火牆對服務器合法開放的端口的***大多無法阻止。例如利用開放了3389端口取得沒打過sp補丁的win2k的超級權限、利用asp程序進行腳本***等。由於其行爲在防火牆一級看來是"合理"和"合法"的,因此就被簡單地放行了。
7、防火牆不能防止受病毒感染的文件的傳輸。防火牆本身並不具備查殺病毒的功能,即使集成了第三方的防病毒軟件,也沒有一種軟件可以查殺所有的病毒。
8、防火牆不能防止數據驅動式的***。當有些表面看來無害的數據郵寄或拷貝到內部網的主機上並被執行時,可能會發生數據驅動式的***。
9、防火牆不能防止內部的泄密行爲。防火牆內部的一個合法用戶主動泄密,防火牆對此是無能爲力的。
10、防火牆不能防止本身安全漏洞的威脅。防火牆保護別人有時卻無法保護自己,因爲目前還沒有廠商絕對保證防火牆不會存在安全漏洞。防火牆也是一個OS,也有着其硬件系統和軟件,因此依然有着漏洞和bug。所以其本身也可能受到***和出現軟/硬件方面的故障。
從上面可以看出,防火牆和殺毒配合使用纔是正道,如:PC-cillin外加looknstop會比較安全,另外,也可自個設置一下集成的PCC防火牆,PCC+ZA不是很好配,或者配天網,瑞星要用全一套等等。。。