防毒墙位于网络中哪个位置
防毒墙一般位于网络核心交换机和数据中心之间,通常使用在线部署和旁路部署接入网络,在线部署就是设备是串联方式接入到网络中的,数据交互是通过相应设备的,旁路部署是指只有一根线接到网络中,一般是交换机上,交换机将数据镜像后发给防毒墙,防毒墙进行分析处理。对于防毒墙一般来说,旁路部署目的为只检测网络中的病毒情况,在线部署也就是串接部署的话不但可以检测也可以起到实时阻止的作用。
防毒墙主要为了弥补防火墙以下的局限性:
防火墙可以阻断攻击,但不能消灭攻击源:“各扫自家门前雪,不管他人瓦上霜”,就是目前网络安全的现状。互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡他们,但是无法清除攻击源。
防火墙不能抵抗最新的未设置策略的攻击漏洞:就如杀毒软件与病毒一样,总是先出现病毒,杀毒软件经过分析出特征码后加入到病毒库内才能查杀。防火墙的各种策略,也是在该攻击方式经过专家分析后给出其特征进而设置的。
防火墙的并发连接数限制容易导致拥塞或者溢出:由于要判断、处理流经防火墙的每一个包,因此防火墙在某些流量大、并发请求多的情况下,很容易导致拥塞,成为整个网络的瓶颈影响性能。而当防火墙溢出的时候,整个防线就如同虚设。
防火墙对服务器合法开放的端口的攻击大多无法阻止:某些情况下,攻击者利用服务器提供的服务进行缺陷攻击。例如利用开放了3389端口取得没打过sp补丁的win2k的超级权限、利用asp程序进行脚本攻击等。
防火墙对的内部主动发起的连接攻击一般无法阻止:防火墙对外部的一些攻击可以进行有效的防御,但是那些木马通过内部实施的攻击行为则无法进行防护。
防火墙本身也会出现问题和受到攻击:防火墙也是一个交互系统,也有硬件和软件系统因此也存在漏洞和BUG,所以其本身也可能受到攻击和出现软硬件方面故障。