防火墙技术是内网最重要的安全技术之一,但也存在明显的局限性。
1.防火墙防外难防内
安全控制只能作用于外对内或内对外,对外可屏蔽内部网拓扑结构,封锁外部网上的用户连接内部网上的重要站点或端口,对内可屏蔽外部危险站点。但很难解决从内网控制内部人员的安全问题,即防外不防内。据权威统计,网上安全攻击事件70%以上来自内部。
2.网络应用受到结构性限制
传统边界式防火墙依赖于物理上的拓扑结构,从物理上将网络划分为内网和外网。根据VPN概念,对内网和外网划分是基于逻辑上的,逻辑上同处内网的主机可能在物理上分处在内部和外部两个网络。传统防火墙在此类网络环境的应用受到结构性限制。基于上述原因,传统防火墙不能在有两个内网之间通信需求的VPN网络中使用,否则VPN通信将被中断。虽然目前有一种SSLVPN技术可绕过企业边界防火墙进入内网VPN通信,但对应用广泛的传统IPSecVPN通信却不支持,除非是专门的VPN防火墙。
3.难于管理和配置易产生安全漏洞
防火墙管理及配置很复杂,要求网管对网络安全攻击的手段及其与系统配置的关系有相当深刻的了解。防火墙的安全策略无法进行集中管理,由多系统(路由器、过滤器、代理服务器、网关、堡垒主机)组成防火墙,较难做到管理完善。(www.xing528.com)
4.效率较低、故障率高
由于防火墙把检查机制集中在网络边界处的单点上,会产生网络瓶颈和单点故障隐患。从性能角度看,防火墙极易成为网络流量的瓶颈。
5.难以为用户在防火墙内外提供一致安全策略
许多防火墙对用户的安全控制主要是基于用户所用计算机的IP地址而非用户身份,这样就很难为同一用户在防火墙内外提供一致的安全控制策略,限制了网络的物理范围。
6.仅能实现粗粒度的访问控制
防火墙只实现了粗粒度的访问控制,且不能与网络内部使用的其他安全(访问控制)策略集中使用。这样,就必须为网络内部的身份验证和访问控制管理维护单独的数据库。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
