防火墙的局限性

大多数防火摘都侧重于对外部数据包进行防范,而忽略了来自内部的一钱安全隐患。例如.我们讨论过包括碑防火崎常使用一条过滚策略是允许从外部进人的响应数据包,而拒绝自外而来的连接请求或服务请求。如果一个内部主机首先向一个外部攻击者发送一个请求包.而引人一个其有某种攻击行为的响应敬据包,便会使这个攻击包顺利地通过防火墙。实施时某个服务器或网络建设设备的攻击行为.同时由内部向外部发出的数据包有时也会倪带一4相关的内部敏s信息,因防火墉对于发出的教据包通常不作过多的限制.因此这共信息很容易被外部获取.并成为对内部网络发起攻击的关键信息。         防火堵本身是篆于TCP/IP协议基础而实现.因此也就很难完全消除因这残协议翻润所造成安全成胁。例如一种利用TCP的协议瀚洞向服务器发起的SYN攻击.最终将导致被攻击的服务器停止《拒绝)接受所有的胀务漪求.也称为拒绝服务攻击DoS( Denial-o(-Service) ,实现非常简单。攻击者向服务器提供某种服务的端u不停地发送大最的TCP连接请求SYN报文.在发送了SY、连接请求之后.并不再继续与服务器完成接下来的握手信号交换,使得股务器陷入等待墉求者发送第三次握手信号的状态。处于这个等待周期的连接状态也称为服务器的半连接状态。服务器会保待为该连接所分配的所有资碑,直到定时移超时。如果服务器开启大段的处于半连接状态的TCP连接.最终会导致服务器的资源被耗尽而不能够再接受新的TCP连接清求.即便是一个正常的请求.SYN攻击通常针对内网中向外提供公共股务的服务器发起.单从攻击者发送的一个单独的TCP请求连接的SYN数据包,防火墉无法分麟它是出自于一个正常的连接请求。还是一个SYN攻击。一些具有状态检侧功能的防火J. .通过跟踪输人愉出数据包的连接状态变化等信息.检侧数据包的首部状态信息(如TCP的SYN位和ACK位等)的变化是否符合相应的协议规则。形成的过此规则不仅越于数据包的首部字段.祠时还今考数据包的状态变化等参数,以提离对内部网络系统的安全防御能力。但这种具有状态检洲功能的防火墉面临的问题是,首先针对所有效据流徽的状态检侧对防火姗的处理和计算能力都有较高的要求.并且状态枪侧会直接影响防火摘对每个数据包的处理速度;其次.对于上述SYN攻击包来说.即便是具有状态枪测功能的防火墉也很难准确地判断出一个S丫N是否是攻击包.特别是某些进行S丫N攻击的攻击村会采用地址哄毅.使甸次发送的SYN包用不间的派地址。 最后,防火强的安全防御能力与其处理速度是成反比的.防火墙的过a规则越复杂.对数据包检查得越细.内部网络的安全性就越高.但相应地处理梅一个数据包的速度也就会越二使得镇个网络的性能也受到彭响。 上述防火墙局限性说明防火.井不可曲对网络起到绝对的安全保护,实际两络系魄中通常会采用其他的安全控侧指施作为防火堵的必要补充.例如.人倪位IDS(Intrusion DetectionSystem》可以作为防火幼之后的第二道叻找.在不影响网络运行和性能的前扭下.从防火墉或网络不坟中的其他关工节点收典相应的信息.并通过分析这些仿息到断X中是否含有攻击的企图.当发现忍At行为时能够及时向网络,理员报,.作为叻火幼的补偿技术.人任枪侧爪魄不但可以发砚从外娜进人的攻击,也可以发砚来自内部的恶t行为.对于叻止成减轻两络系吮所受到的各种安全减协具重要意义。
返回新闻列表