防火墙的利与弊

1.3网络防火墙的缺点 网络防火墙的缺点
来自百度文库1、不能防范恶意的知情者 、 防火墙可以禁止系统用户经过网络连接 可以禁止系统用户经过网络 防火墙可以禁止系统用户经过网络连接 发送专有的信息， 发送专有的信息，但用户可以将数据复制到 磁盘、磁带上，放在公文包中带出去。 磁盘、磁带上，放在公文包中带出去。如果 入侵者已经在防火墙内部，防火墙是无能为 入侵者已经在防火墙内部，防火墙是无能为 防火墙内部 力的。内部用户可以偷窃数据， 力的。内部用户可以偷窃数据，破坏硬件和 软件，并且巧妙地修改程序而不接近防火墙 防火墙。 软件，并且巧妙地修改程序而不接近防火墙。 对于来自知情者的威胁， 对于来自知情者的威胁，只能要求加强内部 管理，如主机安全和用户教育等。 管理，如主机安全和用户教育等。
1.2网络防火墙的优点 网络防火墙的优点
1、防火墙能够强化安全策略 、防火墙能够强化安全策略 因为网络上每天都有上百万人在收集信息、 网络上每天都有上百万人在收集信息 因为网络上每天都有上百万人在收集信息、 交换信息，不可避免地会出现个别品德不良， 交换信息，不可避免地会出现个别品德不良，或 违反规则的人，防火墙就是为了防止不良现象发 违反规则的人，防火墙就是为了防止不良现象发 生的“交通警察” 它执行站点的安全策略， 生的“交通警察”，它执行站点的安全策略，仅 仅容许“认可的”和符合规则的请求通过。 仅容许“认可的”和符合规则的请求通过。 2、防火墙能有效地记录网络上的活动 能有效地记录网络 、防火墙能有效地记录网络上的活动 因为所有进出信息都必须通过防火墙 防火墙， 因为所有进出信息都必须通过防火墙，所以 防火墙非常适用于收集关于系统和网络使用和误 非常适用于收集关于系统和网络 防火墙非常适用于收集关于系统和网络使用和误 用的信息。作为访问的唯一点，防火墙能在被保 用的信息。作为访问的唯一点，防火墙能在被保 护的网络和外部网络之间进行记录。 网络和外部网络之间进行记录 护的网络和外部网络之间进行记录。
1.1防火墙的概念 防火墙的概念
1、限制人们从一个特别的控制点进入； 、限制人们从一个特别的控制点进入； 2、防止入侵者接近你的其它防御设施； 、防止入侵者接近你的其它防御设施； 3、限定人们从一个特别的点离开； 、限定人们从一个特别的点离开； 4、有效地阻止破坏者对你的计算机系统进 、 行破坏。 行破坏。 防火墙常常被安装在内部网络连接到因 常常被安装在内部网络 防火墙常常被安装在内部网络连接到因 特网（或外部网络 的节点上。 网络） 特网（或外部网络）的节点上。
1.4包过滤防火墙的缺点 包过滤防火墙的缺点
配置困难。因为包过滤防火墙很复杂， 配置困难。因为包过滤防火墙很复杂，人们经常会忽略 建立一些必要的规则，或者错误配置了已有的规则， 建立一些必要的规则，或者错误配置了已有的规则，在 防火墙上留下漏洞。然而，在市场上， 防火墙上留下漏洞。然而，在市场上，许多新版本的防 火墙对这个缺点正在作改进， 火墙对这个缺点正在作改进，如开发者实现了基于图形 化用户界面(GUI)的配置和更直接的规则定义。 的配置和更直接的规则定义。 化用户界面 的配置和更直接的规则定义 为特定服务开放的端口存在着危险， 为特定服务开放的端口存在着危险，可能会被用于其他 传输。例如， 服务器默认端口为80， 传输。例如，Web服务器默认端口为 ，而计算机上又 服务器默认端口为 安装了RealPlayer，那么它会搜寻可以允许连接到 安装了 ， RealAudio服务器的端口，而不管这个端口是否被其他 服务器的端口， 服务器的端口 协议所使用， 正好是使用80端口而搜寻的 协议所使用，RealPlayer正好是使用 端口而搜寻的。 正好是使用 端口而搜寻的。 就这样无意中， 就利用了Web服务器的端口 就这样无意中，RealPlayer就利用了 就利用了 服务器的端口 可能还有其他方法绕过防火墙进入网络， 可能还有其他方法绕过防火墙进入网络，例如拨入连接 但这个并不是防火墙自身的缺点， 。但这个并不是防火墙自身的缺点，而是不应该在网络 安全上单纯依赖防火墙的原因。 安全上单纯依赖防火墙的原因。
1.5状态 动态检测防火墙概念 状态/动态检测防火墙概念 状态
状态/动态检测防火墙， 状态 动态检测防火墙，试图跟踪通过防火墙的网络 动态检测防火墙 连接和包， 连接和包，这样防火墙就可以使用一组附加的标准 以确定是否允许和拒绝通信。 ，以确定是否允许和拒绝通信。它是在使用了基本 包过滤防火墙的通信上应用一些技术来做到这点的 。 例如，如果传入的包包含视频数据流， 例如，如果传入的包包含视频数据流，而防火墙可 能已经记录了有关信息，是关于位于特定IP地址的 能已经记录了有关信息，是关于位于特定 地址的 应用程序最近向发出包的源地址请求视频信号的信 如果传入的包是要传给发出请求的相同系统， 息。如果传入的包是要传给发出请求的相同系统， 防火墙进行匹配，包就可以被允许通过。 防火墙进行匹配，包就可以被允许通过。
1.1防火墙的概念 防火墙的概念
防火墙原是设计用来防止火灾从建筑物的 防火墙原是设计用来防止火灾从建筑物的 一部分传播到另一部分的设施。从理论上讲， 一部分传播到另一部分的设施。从理论上讲， Internet防火墙服务也有类似目的，它防止 防火墙服务也有类似目的 防火墙服务也有类似目的， Internet（或外部网络）上的危险（病毒、 网络） （或外部网络 上的危险（病毒、 资源盗用等）传播到网络内部。 网络内部 资源盗用等）传播到网络内部。Internet 或外部网络 防火墙服务于多个目的 网络） 服务于多个目的： （或外部网络）防火墙服务于多个目的：
1.1防火墙的概念 防火墙的概念 Internet的迅速发展提供了发布信 的迅速发展提供了发布信 息和检索信息的场所， 息和检索信息的场所，但也带来了信息 污染和信息破坏的危险, 污染和信息破坏的危险 人们为了保护其 数据和资源的安全，部署了防火墙 防火墙。 数据和资源的安全，部署了防火墙。防 火墙本质上是一种保护装置 本质上是一种保护装置， 火墙本质上是一种保护装置，它保护数 资源和用户的声誉。 据、资源和用户的声誉。
1.4包过滤防火墙的优点 包过滤防火墙的优点
防火墙对每条传入和传出网络的包实行低水平控制。 防火墙对每条传入和传出网络的包实行低水平控制。 每个IP包的字段都被检查 例如源地址、目的地址、 包的字段都被检查， 每个 包的字段都被检查，例如源地址、目的地址、 协议、端口等。 协议、端口等。防火墙将基于这些信息应用过滤规则 防火墙可以识别和丢弃带欺骗性源IP地址的包 地址的包。 防火墙可以识别和丢弃带欺骗性源 地址的包。 包过滤防火墙是两个网络之间访问的唯一来源。 包过滤防火墙是两个网络之间访问的唯一来源。因为 所有的通信必须通过防火墙，绕过是困难的。 所有的通信必须通过防火墙，绕过是困难的。 包过滤通常被包含在路由器数据包中， 包过滤通常被包含在路由器数据包中，所以不必额外 的系统来处理这个特征。 的系统来处理这个特征。
1.3网络防火墙的缺点 网络防火墙的缺点
2、不能防范不通过它的连接 、 防火墙能够有效地防止通过它的传输信 防火墙能够有效地防止通过它的传输信 息，然而它却不能防止不通过它而传输的信 例如，如果站点允许对防火墙 防火墙后面的内 息。例如，如果站点允许对防火墙后面的内 部系统进行拨号访问，那么防火墙 防火墙绝对没有 部系统进行拨号访问，那么防火墙绝对没有 办法阻止入侵者进行拨号入侵。 办法阻止入侵者进行拨号入侵。 3、不能防备全部的威胁 、 防火墙被用来防备已知的威胁 被用来防备已知的威胁， 防火墙被用来防备已知的威胁，如果是 防火墙设计方案 一个很好的防火墙设计方案， 一个很好的防火墙设计方案，就可以防备新 的威胁，但没有一扇防火墙 防火墙能自动防御所有 的威胁，但没有一扇防火墙能自动防御所有 新的威胁。 新的威胁。 4、 防火墙不能防范病毒 、 防火墙不能防范病毒 防火墙一般不能消除网络上的病毒 一般不能消除网络上的病毒。 防火墙一般不能消除网络上的病毒。
1.4包过滤防火墙概念 包过滤防火墙概念
第一代防火墙和最基本形式防火墙检查每一 个通过的网络包，或者丢弃，或者放行， 个通过的网络包，或者丢弃，或者放行，取 决于所建立的一套规则。 决于所建立的一套规则。这称为包过滤防火 墙。 本质上，包过滤防火墙是多址的， 本质上，包过滤防火墙是多址的，表明它有 两个或两个以上网络适配器或接口。例如， 两个或两个以上网络适配器或接口。例如， 作为防火墙的设备可能有两块网卡(NIC)， 作为防火墙的设备可能有两块网卡 ， 一块连到内部网络， 一块连到内部网络，一块连到公共的 Internet。防火墙的任务，就是作为“通信 。防火墙的任务，就是作为“ 警察” 指引包和截住那些有危害的包。 警察”，指引包和截住那些有危害的包。
1.4包过滤防火墙概念 包过滤防火墙概念
包过滤防火墙检查每一个传入包， 包过滤防火墙检查每一个传入包，查看包中可用的基 本信息(源地址和目的地址 端口号、协议等)。 源地址和目的地址、 本信息 源地址和目的地址、端口号、协议等 。然后 将这些信息与设立的规则相比较。 ，将这些信息与设立的规则相比较。如果已经设立了 阻断telnet连接，而包的目的端口是 的话，那么该 连接， 的话， 阻断 连接 而包的目的端口是23的话 包就会被丢弃。如果允许传入Web连接，而目的端口 连接， 包就会被丢弃。如果允许传入 连接 为80，则包就会被放行。 ，则包就会被放行。 多个复杂规则的组合也是可行的。如果允许Web连接 多个复杂规则的组合也是可行的。如果允许 连接 但只针对特定的服务器， ，但只针对特定的服务器，目的端口和目的地址二者 必须与规则相匹配，才可以让该包通过。 必须与规则相匹配，才可以让该包通过。 最后，可以确定当一个包到达时， 最后，可以确定当一个包到达时，如果对该包没有规 则被定义，接下来将会发生什么事情了。通常， 则被定义，接下来将会发生什么事情了。通常，为了 安全起见，与传入规则不匹配的包就被丢弃了。 安全起见，与传入规则不匹配的包就被丢弃了。如果 有理由让该包通过，就要建立规则来处理它。 有理由让该包通过，就要建立规则来处理它。
1.2网络防火墙的优点 网络防火墙的优点 3、防火墙限制暴露用户点 、防火墙限制暴露用户点 防火墙能够用来隔开网络中的两 能够用来隔开网络 防火墙能够用来隔开网络中的两 个网段， 个网段，这样就能够防止影响一个网 段的信息通过整个网络进行传播。 网络进行传播 段的信息通过整个网络进行传播。 4、防火墙是一个安全策略的检查站 、防火墙是一个安全策略的检查站 所有进出的信息都必须通过防火 所有进出的信息都必须通过防火 防火墙便成为安全问题的检查点 便成为安全问题的检查点， 墙，防火墙便成为安全问题的检查点， 使可疑的访问被拒绝于门外。 使可疑的访问被拒绝于门外。
组长： 组长：丁一平 组员：夏万千，刘骏，边晓旭， 组员：夏万千，刘骏，边晓旭，张浩然
防火墙的利与弊
1.1防火墙的概念 1.2网络防火墙的优点 1.3网络防火墙的缺点 1.4包过滤防火墙的概念和优缺点 1.5状态/动态检测防火墙的概念和优缺点 1.6应用程序防火墙的概念和优缺点 1.7NAT的概念和优缺点 1.8个人防火墙的概念和优缺点
1.5状态 动态检测防火墙优点 状态/动态检测防火墙优点 状态
检查IP包的每个字段的能力， 检查 包的每个字段的能力，并遵从基于包中信息的过滤规 包的每个字段的能力 则。 识别带有欺骗性源IP地址包的能力 地址包的能力。 识别带有欺骗性源 地址包的能力。 是两个网络之间访问的唯一来源。 是两个网络之间访问的唯一来源。因为所有的通信必须通过 防火墙，绕过是困难的。 防火墙，绕过是困难的。 基于应用程序信息验证一个包的状态的能力， 基于应用程序信息验证一个包的状态的能力， 例如基于一个 已经建立的FTP连接，允许返回的 连接， 包通过。 已经建立的 连接 允许返回的FTP包通过。 包通过 基于应用程序信息验证一个包状态的能力， 基于应用程序信息验证一个包状态的能力，例如允许一个先 前认证过的连接继续与被授予的服务通信。 前认证过的连接继续与被授予的服务通信。 记录有关通过的每个包的详细信息的能力。基本上， 记录有关通过的每个包的详细信息的能力。基本上，防火墙 用来确定包状态的所有信息都可以被记录， 用来确定包状态的所有信息都可以被记录，包括应用程序对 包的请求，连接的持续时间， 包的请求，连接的持续时间，内部和外部系统所做的连接请 求等。 求等。