(1)防火牆管不到內部惡人
如果惡人已經在防火牆內可以無須接近防火牆,就可以偷竊資料、損壞硬體和軟體,並巧妙的修改程式。內部威脅需要內部安全措施,例如機房安全管理措施及人員訓練
(2)防火牆管不到不經過它的連線
對於不經過防火牆的傳輸,防火牆就無法發揮作用。例如某些站台允許直接通到內部主機的撥入存取或是技術及系統管理者會為他們自己設置進入網路等。
(3)防火牆無法防範全新的威脅
防火牆的設計是為了防範已知的威脅,一個設計完善的防火牆或許可以防範一些新威脅,如:除了少數可靠的服務外,拒絕一切其他的服務就可以防止使用者設置新的極不安全的服務。
(4)防火牆無法防範病毒
防火牆無法防範PC和Macintosh病毒進入網路,雖然防火牆會就來源位址、目的位址及port號碼作掃描,但不是細部資料,且使用最精巧的封包過濾或代理軟體對於防火牆而言也不太實際。
Internet的發展給企業帶來了革命性的改革和開放,企業正努力通過利用它來提高市場反應速度和辦事效率,以便更具競爭力。企業通過Internet,可以從異地取回重要數據,同時又要面對Internet開放帶來的數據安全的新挑戰和新危險:即客户、銷售商、移動用户、異地員工和內部員工的安全訪問;以及保護企業的機密信息不受黑客和工業間諜的入侵。因此企業必須加註安全的“戰壕”,而這些“戰壕”又要在哪裏修建呢?
基於Internet體系應用有兩大部分:Intranet和Extranet。Intranet是藉助Internet的技術和設備在Internet上面構造出企業3W網,可放入企業全部信息;而Extranet是在電子商務、互相合作的需求下,用Intranet間的通道,可獲得其它體系中部分信息。因此按照一個企業的安全體系可知防火牆戰壕須在以下位置上位置:
①保證對主機和應用安全訪問;
②保證多種客户機和服務器的安全性;
③保護關鍵部門不受到來自內部的攻擊、外部的攻擊、為通過Internet與遠程訪問的僱員、客户、供應商提供安全通道。同時防火牆的安全性還要來自其良好的技術性能。
防火牆是系統的第一道防線,其主要作用是防止非法用户的進入,具有很好的保護作用。
防火牆的具體功能主要包括“網絡安全”與“數據庫安全”,包含內容如下:
強化內部網絡的安全性
防火牆可以限制非法用户,比如防止黑客、網絡破壞者等進入內部網絡,禁止存在安全脆弱性的服務和未授權的通信進出網絡,並抗擊來自各種路線的攻擊。對網絡存取和訪問進行記錄、監控作為單一的網絡接入點,所有進出信息都必須通過防火牆,所以防火牆非常適用收集關於系統和網絡使用和誤用的信息並做出日誌記錄
限定內部用户訪問特殊站點
防火牆通過用户身份認證來確定合法用户。防火牆通過事先確定的完全檢查策略,來決定內部用户可以使用哪些服務,可以訪問哪些網站
限制暴露用户點,防止內部攻擊
利用防火牆對內部網絡的劃分,可實現網絡中網段的隔離,防止影響一個網段的問題通過整個網絡傳播,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響,同時,保護一個網段不受來自網絡內部其它網段的攻擊
網絡地址轉換(NAT,Network Address Translation)
防火牆可以作為部署NAT的邏 本站 輯地址,因此防火牆可以用來緩解地址空間短缺的問題,並消除機構在變換ISP時帶來的重新編址的麻煩
虛擬專用網(,Virtual Private Network)
防火牆還支持具有Internet服務特性的企業內部網絡技術體系。通過將企事業單位在地域上分佈在全世界各地的LAN或專用子網,有機地聯成一個整體。不僅省去了專用通信線路,而且為信息共享提供了技術保障。
蒙田範文網