@贝壳儿
2年前 提问
1个回答
防火墙的局限性会使其存在哪些漏洞
Andrew
2年前
防火墙的局限性会使其存在以下漏洞:
目前防火墙都装有固定的操作系统,而这个操作系统本身不能保证没有安全漏洞,即在防火墙内部的操作系统存在隐患。
所有电子元器件都有一个生命周期,超过这个周期就会老化和失效,防火墙硬件设备也不例外,即防火墙硬件不能保证不失效。
防火墙的安全功能都是由应用软件实现的,开发人员在设计这个应用软件时是不能保证其没有安全漏洞的,即在防火墙内的应用软件存在安全隐患。
由于防火墙本身是基于TCP/IP协议体系实现的,所以它无法解决TCP/IP协议体系中存在的漏洞。
防火墙只是一个政策执行机构,它并不区分所执行政策的对错,更无法判别出一条合法政策是否真是管理员的本意。从这点上看,防火墙一旦被攻击者控制,由它保护的整个网络就无安全可言了。
防火墙无法从流量上判别哪些是正常的,哪些是异常的,因此容易受到流量攻击。
防火墙的安全性与其速度和多功能成反比。防火墙的安全性要求越高,需要对数据包检查的项目(即防火墙的功能)就越多越细,对CPU和内存的消耗也就越大,从而导致防火墙的性能下降,处理速度减慢。因此,除非确信需要某些功能,否则,以功能最小化为原则为防火墙配置必需的安全功能。
防火墙准许某项服务,却不能保证该服务的安全性,它需要由应用安全来解决。