答案:答案:在内部网和外部网(如因特网)之间安装防火墙并不能一劳永逸。防火墙设立的访问控制机制限制了用户的服务,因此须在安全性和易用性之间进行折衷。防火墙本身也可能存在安全缺陷。 尽管防火墙有许多防范功能,但由于互联网的开放性,使它也有一些力不能及的地方。 (1)防火墙不能防范不经由防火墙的攻击。例如,若允许内部用户从受保护网内不受限制地通过电话拨号,形成与外部网(如因特网)的直接SLIP或PPP连接,就绕过了防火墙系统所提供的安全保护,从而造成了一个潜在的后门攻击渠道。 (2)防火墙不能防范来自内部的攻击。目前,防火墙只提供对外部网络用户攻击的防护,而不能防止来自内部网络用户故意或误操作造成的攻击或威胁,以及由于用户口令泄漏而受到的攻击。对内部网络用户来说,防止火墙形同虚设。 (3)防火墙不能防止感染了病毒的软件或文件的传输。由于操作系统、病毒、二进制文件类型(加密、压缩)的种类太多,且更新很快,所以防火无法逐个扫描每个文件以查找病毒。这只能在每台主机上装反病毒软件来解决。 (4)防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据,邮寄或复制到内部网的主机上并被执行时,可能会发生数据驱动式攻击。例如,一种数据驱动的攻击可以使一台主机修改与系统安全有关的配置文件,使得入侵者更容易入侵该系统。
答案:答案:在内部网和外部网(如因特网)之间安装防火墙并不能一劳永逸。防火墙设立的访问控制机制限制了用户的服务,因此须在安全性和易用性之间进行折衷。防火墙本身也可能存在安全缺陷。 尽管防火墙有许多防范功能,但由于互联网的开放性,使它也有一些力不能及的地方。 (1)防火墙不能防范不经由防火墙的攻击。例如,若允许内部用户从受保护网内不受限制地通过电话拨号,形成与外部网(如因特网)的直接SLIP或PPP连接,就绕过了防火墙系统所提供的安全保护,从而造成了一个潜在的后门攻击渠道。 (2)防火墙不能防范来自内部的攻击。目前,防火墙只提供对外部网络用户攻击的防护,而不能防止来自内部网络用户故意或误操作造成的攻击或威胁,以及由于用户口令泄漏而受到的攻击。对内部网络用户来说,防止火墙形同虚设。 (3)防火墙不能防止感染了病毒的软件或文件的传输。由于操作系统、病毒、二进制文件类型(加密、压缩)的种类太多,且更新很快,所以防火无法逐个扫描每个文件以查找病毒。这只能在每台主机上装反病毒软件来解决。 (4)防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据,邮寄或复制到内部网的主机上并被执行时,可能会发生数据驱动式攻击。例如,一种数据驱动的攻击可以使一台主机修改与系统安全有关的配置文件,使得入侵者更容易入侵该系统。
