@怪人
2年前 提问
1个回答

防火墙如何检测入侵

一颗小胡椒
2年前

防火墙无法检测入侵行为,只能通过设置复杂的访问规则来防御这些入侵行为或者攻击,当外部数据通过防火墙时会通过防火墙设置的这些规则,当该数据匹配到规则后则会被阻止,没有匹配到规则的数据则可以安全通过防火墙,所以防火墙本身不具备入侵检测功能。但是可以借助入侵检测系统来解决防火墙无法检测入侵的缺陷。防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全因素阻断。

防火墙有以下局限性:

  • 防火墙可以阻断攻击,但不能消灭攻击源: “各扫自家门前雪,不管他人瓦上霜”,就是目前网络安全的现状。互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡他们,但是无法清除攻击源。

  • 防火墙不能抵抗最新的未设置策略的攻击漏洞:就如杀毒软件与病毒一样,总是先出现病毒,杀毒软件经过分析出特征码后加入到病毒库内才能查杀。防火墙的各种策略,也是在该攻击方式经过专家分析后给出其特征进而设置的。

  • 防火墙的并发连接数限制容易导致拥塞或者溢出:由于要判断、处理流经防火墙的每一个包,因此防火墙在某些流量大、并发请求多的情况下,很容易导致拥塞,成为整个网络的瓶颈影响性能。而当防火墙溢出的时候,整个防线就如同虚设。

  • 防火墙对服务器合法开放的端口的攻击大多无法阻止:某些情况下,攻击者利用服务器提供的服务进行缺陷攻击。例如利用开放了3389端口取得没打过sp补丁的win2k的超级权限、利用asp程序进行脚本攻击等。

  • 防火墙对的内部主动发起的连接攻击一般无法阻止:防火墙对外部的一些攻击可以进行有效的防御,但是那些木马通过内部实施的攻击行为则无法进行防护。

  • 防火墙本身也会出现问题和受到攻击:防火墙也是一个交互系统,也有硬件和软件系统因此也存在漏洞和BUG,所以其本身也可能受到攻击和出现软硬件方面故障;