【摘要】:通常,人们认为防火墙可以保护处于其身后的网络不受外界的侵袭和干扰。但随着网络技术的发展,网络结构日趋复杂,传统防火墙在使用的过程中暴露出以下局限性。防火墙本身并不具备查杀病毒的功能。入侵防御系统可以弥补防火墙的不足,为网络提供实时的监控,并且在发现入侵的初期采取相应的防护手段。IPS系统作为必要的附加手段,已经为大多数组织机构的安全构架所接受。
通常,人们认为防火墙可以保护处于其身后的网络不受外界的侵袭和干扰。但随着网络技术的发展,网络结构日趋复杂,传统防火墙在使用的过程中暴露出以下局限性。
(1)防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据,防火墙无法检查,如个别内部网络用户绕过防火墙、拨号访问等。
(2)防火墙不能解决来自内部网络的攻击和安全问题。
(3)防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备,就像门卫一样,要根据政策规定来执行安全,而不能自作主张。
(4)防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议,就不能防止利用该协议中的缺陷进行的攻击。(www.daowen.com)
(5)防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口,对该服务器的漏洞进行攻击,防火墙不能防止。
(6)防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能。
(7)防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备,但防火墙本身必须存在于一个安全的地方。
因此,认为在Internet入口处设置防火墙系统就足以保护企业网络安全的想法是不对的,也正是这些因素引起了人们对入侵检测技术的研究及开发。入侵防御系统(Intrusion Prevention System,IPS)可以弥补防火墙的不足,为网络提供实时的监控,并且在发现入侵的初期采取相应的防护手段。IPS系统作为必要的附加手段,已经为大多数组织机构的安全构架所接受。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
有关计算机网络技术及应用研究的文章