我们都知道防火墙是一种基于访问控制的安全设备,传统的防火墙只能针对协议、端口和地址等信息禁止或允许某些特定的数据包经过。如果某种攻击巧妙地利用了合法的途径,就可以长驱直入,视防火墙如“无物”,如通过HTTP协议传播的蠕虫等。UTM设备的诞生可以说基本上解决了我们传统防火墙的这些安全缺陷。今天我们就来分析一下防火墙的一些安全局限性。让大家在部署和设计网络时可以做更多的安全考虑。
防火墙的局限性主要表现在以下几个方面:
(1)、不能阻止隐藏在正常流量中的攻击。防火墙作为访问控制设备,无法检侧或拦截嵌人到普通流量中的恶意攻击代码,比如针对Web服务的Code Red蠕虫等。
(2)、不能防止来自内部的攻击。有些主动或被动的攻击行为是来自防火墙内部的,防火墙无法发现内部网络中的攻击行为。
(3)、防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备,就像门卫一样,要根据政策规定来执行安全,而不能自作主张。
(4)、防火墙不能防止利用标准网络协议中的缺陷进行的攻击。防火墙一旦准许某些标准网络协议,就不能防止利用该协议中的缺陷进行的攻击。
(5)、防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口(如:80端口)对该服务器的漏洞进行攻击,防火墙不能防止。
(6)、防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能,即使集成了第三方的防病毒的软件,也没有一种软件可以查杀所有的病毒。
(7)、防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或复制到内部网的主机上并被执行时,可能会发生数据驱动式的攻击。
由于传统防火墙具有以上一些缺陷,飞塔UTM网关应运而生,它改变了传统防火墙的观念,它可以针对企业网络的应用层进行保护,提供全面的防火墙、病毒防护、垃圾邮件防护、入侵检测、入侵防护、恶意应用攻击防护。所以即使我们在网络前端部署了防火墙,但从安全保障体系考虑也是还需要我们的管理员去进一步完善的。
本文由:飞塔UTM于(2012-07-16)发表了关于为什么要购买UTM网关,看防火墙的局限性的文章
。如转载请注明出处:http://www.cdcy-mail.com
如果您对此感兴趣,可以通过以下联系方式与我们联系:
