计算机网络应用 传统边界防火墙固有的欠缺

计算机网络应用传统边界防火墙固有的欠缺
随着网络技术的不断发展、新网络技术的应用以及新的网络安全因素的出现，人们开始意识到传统边界防火墙的不足之处。

在了解新的防火墙技术之前，可以先来总结一下传统边界防火墙主要缺点。

1．受拓扑结构限制
传统边界防火墙完全依赖于物理上的拓扑结构，将网络划分为内部网络和外部网络，比较固化。

这样使防火墙在目前普及的虚拟专用网（VPN）上应用受到了限制。

因为近来企业网络边界逐步成为一个逻辑的边界，物理的边界已经非常模糊。

另外，VPN对内部网络和外部网络的规划是基于逻辑上的，而逻辑上同处内部网络的计算机在物理上可能分别处于内部和外部两个网络中。

因此，这种传统的边界防火墙不能在两个使用了VPN网络通道的内部网络中使用，否则VPN通信将不能实现。

2．防外不防内
传统的边界防火墙只对外部网络进入内部局域网的流量进行过滤和检测，并不能够确保内部网络中各用户之间的安全访问。

举个例子来讲，就像是给一座公寓的大门加上一把锁，可是公寓中的每个房间的门却是开着一样，一旦有人通过了公寓的大门，便可以随意出入内部任何一个房间，同样是不安全的。

边界防火墙的作用就相当于整个网络大门的那把锁，但对于内部每个成员来说是不安全的。

据统计，大部分的网络攻击现象均来自内部，并且在面临网络内部威胁时，边界防火墙往往也是束手无策。

因为传统的边界式防火墙设置一般都基于IP地址，因而一些内部主机和服务器的IP地址的变化将导致设置文件中的规则改变，也就是说这些规则的设定受到网络拓朴结构的制约。

随着IP安全协议（如IPSec、SSH、SSL等）的逐渐实现，如果分处内部网络和外部网络的两台主机采用IP安全协议进行端到端的通信时（其实以上所介绍的SSL VPN就是这样一种端到端通信的应用），防火墙将因为没有相应的密钥而无法看到IP包的内容，因而也就无法对其进行过滤。

因此，由于防火墙所保护的内部网络可信任的，所以一旦有内部主机被侵入，通常可以容易扩展该次攻击。

对于这些问题，传统意义上的防火墙是很难解决的。

3．效率较低和故障率高
由于传统边界防火墙把检查机制集中在网络边界处的单点上，产生了网络的瓶颈和单点故障隐患。

从性能的角度来说，防火墙极易成为网络流量的瓶颈。

从网络可达性的角度来说，由于其带宽的限制，防火墙并不能保证所有请求都能及时响应，所以在网络连通性方面防火墙也是整个网络中的一个脆弱点。

边界防火墙难以平衡网络效率与安全性设定之间的矛盾，无法为网络中的每台服务器订制规则，它只能使用一个折衷的规则来近似满足所有被保护的服务器的需要，或者损失效率，或者损失安全性。

4．安全模式单一
传统边界防火墙的安全策略是针对整个网络制定的，在整个网络中所有计算机必须遵从统一的安全模式，网络中的计算机和服务器在安全性上不具有针对性特点。