各類防火墻的優缺點
1.包過濾防火墻
使用包過濾防火墻的優點包括:
防火墻對每條傳入和傳出網絡的包實行低水平控制。
每個IP包的字段都被檢查,例如源地址、目的地址、協議、端口等。防火墻將基于這些信息應用過濾規則。
防火墻可以識別和丟棄帶欺騙性源IP地址的包。
包過濾防火墻是兩個網絡之間訪問的唯一來源。因為所有的通信必須通過防火墻,繞過是困難的。
包過濾通常被包含在路由器數據包中,所以不必額外的系統來處理這個特征。
使用包過濾防火墻的缺點包括:
配置困難。因為包過濾防火墻很復雜,人們經常會忽略建立一些必要的規則,或者錯誤配置了已有的規則,在防火墻上留下漏洞。然而,在市場上,許多新版本的防火墻對這個缺點正在作改進,如開發者實現了基于圖形化用戶界面(GUI)的配置和更直接的規則定義。
為特定服務開放的端口存在著危險,可能會被用于其他傳輸。例如,Web服務器默認端口為80,而計算機上又安裝了RealPlayer,那么它會搜尋可以允許連接到RealAudio服務器的端口,而不管這個端口是否被其他協議所使用,RealPlayer正好是使用80端口而搜尋的。就這樣無意中,RealPlayer就利用了Web服務器的端口。
可能還有其他方法繞過防火墻進入網絡,例如撥入連接。但這個并不是防火墻自身的缺點,而是不應該在網絡安全上單純依賴防火墻的原因。
2.狀態/動態檢測防火墻
狀態/動態檢測防火墻的優點有:
檢查IP包的每個字段的能力,并遵從基于包中信息的過濾規則。
識別帶有欺騙性源IP地址包的能力。
包過濾防火墻是兩個網絡之間訪問的唯一來源。因為所有的通信必須通過防火墻,繞過是困難的。
基于應用程序信息驗證一個包的狀態的能力, 例如基于一個已經建立的FTP連接,允許返回的FTP包通過。
基于應用程序信息驗證一個包狀態的能力,例如允許一個先前認證過的連接繼續與被授予的服務通信。
記錄有關通過的每個包的詳細信息的能力。基本上,防火墻用來確定包狀態的所有信息都可以被記錄,包括應用程序對包的請求,連接的持續時間,內部和外部系統所做的連接請求等。
狀態/動態檢測防火墻的缺點:
狀態/動態檢測防火墻唯一的缺點就是所有這些記錄、測試和分析工作可能會造成網絡連接的某種遲滯,特別是在同時有許多連接激活的時候,或者是有大量的過濾網絡通信的規則存在時。可是,硬件速度越快,這個問題就越不易察覺,而且防火墻的制造商一直致力于提高他們產品的速度。
3.應用程序代理防火墻
使用應用程序代理防火墻的優點有:
指定對連接的控制,例如允許或拒絕基于服務器IP地址的訪問,或者是允許或拒絕基于用戶所請求連接的IP地址的訪問。
通過限制某些協議的傳出請求,來減少網絡中不必要的服務。
大多數代理防火墻能夠記錄所有的連接,包括地址和持續時間。這些信息對追蹤攻擊和發生的未授權訪問的事件事很有用的。
使用應用程序代理防火墻的缺點有:
必須在一定范圍內定制用戶的系統,這取決于所用的應用程序。
一些應用程序可能根本不支持代理連接。
4.NAT
使用NAT的優點有:
所有內部的IP地址對外面的人來說是隱蔽的。因為這個原因,網絡之外沒有人可以通過指定IP地址的方式直接對網絡內的任何一臺特定的計算機發起攻擊。
如果因為某種原因公共IP地址資源比較短缺的話,NAT可以使整個內部網絡共享一個IP地址。
可以啟用基本的包過濾防火墻安全機制,因為所有傳入的包如果沒有專門指定配置到NAT,那么就會被丟棄。內部網絡的計算機就不可能直接訪問外部網絡。
使用NAT的缺點:
NAT的缺點和包過濾防火墻的缺點是一樣的。雖然可以保障內部網絡的安全,但它也是一些類似的局限。而且內網可以利用現流傳比較廣泛的木馬程序可以通過NAT做外部連接,就像它可以穿過包過濾防火墻一樣的容易。
注意:現在有很多廠商開發的防火墻,特別是狀態/動態檢測防火墻,除了它們應該具有的功能之外也提供了NAT的功能。
5.個人防火墻
個人防火墻的優點有:
增加了保護級別,不需要額外的硬件資源。
個人防火墻除了可以抵擋外來攻擊的同時,還可以抵擋內部的攻擊。
個人防火墻是對公共網絡中的單個系統提供了保護。例如一個家庭用戶使用的是Modem或ISDN/ADSL上網,可能一個硬件防火墻對于他來說實在是太昂貴了,或者說是太麻煩了。而個人防火墻已經能夠為用戶隱蔽暴露在網絡上的信息,比如IP地址之類的信息等。
個人防火墻的缺點:
個人防火墻主要的缺點就是對公共網絡只有一個物理接口。要記住,真正的防火墻應當監視并控制兩
個或更多的網絡接口之間的通信。這樣一來的話,個人防火墻本身可能會容易受到威脅,或者說是具有這樣一個弱點,網絡通信可以繞過防火墻的規則。