防火墙安全性能分析和搭配
  在论坛上经常看见有人说他们只单单用一个防火墙,我自已使用趋势PC-cillin加集成防火墙,另外还加+Looknstop, 我总觉的不×××全,今天到网上去搜了一下,发现了许多东西,其实从我们现阶段网络使用最多的安全设备和入侵检测发现,防火墙其实是很脆弱的,也有他的局限性。
  列如下几点:
  1、防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据,防火墙无法检查,比如拨号上网。

  2、防火墙不能解决来自内部网络的攻击和安全问题。"外紧内松"是一般局域网络的特点,一道严密防守的防火墙其内部的网络也有可能是一片混乱。如通过社会工程学发送带木马的邮件、带木马的URL等方式,然后由中木马的机器主动对攻击者连接,将瞬间破坏象铁壁一样的防火墙。另外,防火墙内部各主机间的攻击行为,防火墙也只能如旁观者一样冷视而爱莫能助。

  3、防火墙不能防止最新的未设置策略或错误配置引起的安全威胁。防火墙的各种策略,也是在该攻击方式经过专家分析后给出其特征进而设置的。如果世界上新发现某个主机漏洞的cracker把第一个攻击对象选中了您的网络,那么防火墙也没有办法帮到您。

  4、防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备,但防火墙本身必须存在于一个安全的地方。

  5、防火墙无法解决TCP/IP等协议的漏洞。防火墙本身就是基于TCP/IP等协议来实现的,就无法解决TCP/IP操作的漏洞。比如利用DOSDDOS攻击。

  6、防火墙对服务器合法开放的端口的攻击大多无法阻止。例如利用开放了3389端口取得没打过sp补丁的win2k的超级权限、利用asp程序进行脚本攻击等。由于其行为在防火墙一级看来是"合理""合法"的,因此就被简单地放行了。

  7、防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能,即使集成了第三方的防病毒软件,也没有一种软件可以查杀所有的病毒。

  8、防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时,可能会发生数据驱动式的攻击。

  9、防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密,防火墙对此是无能为力的。

  10、防火墙不能防止本身安全漏洞的威胁。防火墙保护别人有时却无法保护自己,因为目前还没有厂商绝对保证防火墙不会存在安全漏洞。防火墙也是一个OS,也有着其硬件系统和软件,因此依然有着漏洞和bug。所以其本身也可能受到攻击和出现软/硬件方面的故障。 

  从上面可以看出,防火墙和杀毒配合使用才是正道,如:PC-cillin外加looknstop会比较安全,另外,也可自个设置一下集成的PCC防火墙,PCC+ZA不是很好配,或者配天网,瑞星要用全一套等等。。。