了解防火墙的局限性和脆弱性

防火墙是机房和网络上最常用的安全保障器械，是网络系统安全保障的显而易见基石。然而，防火墙厂商为了占领开销市场，往往会对防火墙的功能进行过度宣扬，导致一些误解，特别是将防火墙神化为万能安全保障辅助工具。为了确保网络系统的安全保障，正确认识和了解防火墙的局限性和脆弱性显得尤为显而易见。

一、防火墙的局限性

不能防范不经过防火墙的攻击：防火墙只能体检经过它的信息，无法检测那些绕过防火墙的流量。

无法解决内部网络系统的攻击和安全保障问题：尽管防火墙可以设计解决方法成既防外也防内，但大多数组织因不方便而不使用此功能。

不能防止战术配置不当或错误配置引起的安全保障威胁：防火墙只是一个履行预定战术的器械，不能自行决定安全保障方式。

不能防止人为或自然的破坏：防火墙需要被放置在一个安全保障的环境中，防止物理破坏。

不能防止利用准则网络系统合同中的缺陷进行的攻击：一旦防火墙允许某些准则合同的数据通信，合同中的安全漏洞仍然可以被利用。

不能防止利用服务器设备系统化安全漏洞的攻击：黑客可以通过防火墙允许的接口攻击服务器设备的安全漏洞，防火墙对此无能为力。

不能防止病毒感染文件的传递：尽管防火墙可以集成防病毒应用领域软件，但无法查杀所有的病毒。

不能防止信息驱动式的攻击：一些看似无害的信息可以在内部网络系统履行时引发攻击。

不能防止内部的泄密行为：防火墙对内部合法采购者的主动泄密行为无能为力。

自身的安全保障安全漏洞：没有任何防火墙厂商能绝对保证防火墙没有安全保障安全漏洞，因此防火墙本身也需要安全保障保护。

二、防火墙的脆弱性

运行系统化存在安全漏洞：任何防火墙都有运行系统化，而运行系统化难免存在安全保障安全漏洞。

硬件设施可能失效：所有硬件设施都有生命周期，防火墙的硬件设施也不例外，可能会老化或失效。

应用领域软件存在安全漏洞：防火墙的应用领域软件同样可能存在安全漏洞，因为所有应用领域软件都可能存在缺陷。

无法解决TCP/IP等合同的安全漏洞：防火墙是基于这些合同实现的，无法完全解决合同本身的安全漏洞。

无法区分恶意和善意命令：同一个命令对管理员来说是合法的，但在黑客手中可能是不安全的。

无法区分恶意和善意流量：例如，PING命令可以用于网络系统诊断，也可以用于网络系统攻击，防火墙无法区分。

多功能与安全保障性成反比：防火墙的功能越多，安全保障性往往越低，因此应尽量最小化功能。

安全保障性和速率成反比：体检越细致，安全保障性越高，但速率越慢。

多功能与速率成反比：功能越多，对CPU和内存空间的消耗越大，速率越慢。

无法保证准许帮助的安全保障性：防火墙允许某项帮助，但无法保证该帮助本身的安全保障性。

三、应对防火墙局限性和脆弱性的方式

随着网络系统安全保障技能的前进，出现了物理隔离网闸(GAP)、防泄密系统化、防病毒网关、抗攻击网关、入侵检测防御(IDP)等新技能，这些技能弥补了经典防火墙的不足，构成了更加完善的网络系统防御体系。

新的防火墙技能应重点解决以下问题：

合同的安全保障性问题

病毒攻击问题

真切与不真切的问题

防火墙自身的安全保障问题

在数据计算机网络系统日益普及的今天，开销市场需要新一代防火墙来解决当前的不安全保障局面。只有通过不断的技能刷新和提升，才能建立更安全保障的网络系统环境。