包过滤防火墙的缺点有什么
我们经常所说的包过滤防火墙!它到底有什么缺点呢?下面由小编给你做出详细的包过滤防火墙的缺点介绍!希望对你有帮助!
包过滤防火墙的缺点介绍一
一些包过滤网关不支持有效的用户认证。
规则表很快会变得很大而且复杂,规则很难测试。随着表的增大和复杂性的增加,规则结构出现漏洞的可能 性也会增加。
这种防火墙最大的缺陷是它依赖一个单一的部件来保护系统。如果这个部件出现了问题,会使得网络大门敞开,而用户甚至可能还不知道。
在一般情况下,如果外部用户被允许访问内部主机,则它就可以访问内部网上的任何主机。
包过滤防火墙只能阻止一种类型的IP欺骗,即外部主机伪装内部主机的IP,对于外部主机伪装外部主机的IP欺骗却不可能阻止,而且它不能防止DNS欺骗。
虽然,包过滤防火墙有如上所述的缺点,但是在管理良好的小规模网络上,它能够正常的发挥其作用。一般情况下,人们不单独使用包过滤网关,而是将它和其他设备(如堡垒主机等)联合使用。
包过滤的工作是通过查看数据包的源地址、目的地址或端口来实现的,一般来说,它不保持前后连接信息,过滤决定是根据 当前数据包的内容来做的。管理员可以做一个可接受机和服务的列表,以及一个不可接受机和服务的列表。在主机和网络一级,利用数据包过滤很容易实现允许或禁止访问。
由此不难看出这个层次的防火墙的优点和弱点,由于防火墙只是工作在OSI的第三层(网络层)和第四层(传输层),因此包过滤的防火墙的一个非常明显的优势就是速度,这是因为防火墙只是去检查数据报的报头,而对数据报所携带的内容没有任何形势的检查,因此速度非常快。与此同时,这种防火墙的缺点也是显而易见的,比较关键的几点如下所述。
(1)由于无法对数据报的内容进行核查,一次无法过滤或审核数据报的内容
体现这一问题的一个很简单的例子就是:对某个端口的开放意味着相应端口对应的服务所能够提供的全部功能都被开放,即使通过防火墙的数据报有攻击性,也无法进行控制和阻断。例如在一个简单的Web服务器,而包过滤的防火墙无法对数据报内容进行核查。因此,未打相应补丁的提供Web服务的系统,及时在防火墙的屏蔽之后,也会被攻击着轻易获取超级用户的权限。
(2)由于此种类型的防火墙工作在较低层次,防火墙本身所能接触的信息较少,所以它无法提供描述细致事件的日志系统。
此类防火墙生成的日志常常只是包括数据报捕获的时间、网络层的IP地址、传输层的端口等非常原始的信息。至于这个数据报内容是什么,防火墙不会理会,而这对安全管理员而言恰恰是很关键的。因为及时一个非常优秀的系统管理员,一旦陷入大量的通过/屏蔽的原始数据包信息中,往往也是难以理清头绪,这在发生安全事件时给管理员的安全审计带来很大的困难。
(3)所有可能用到的端口(尤其是大于1024的端口)都必须开放,对外界暴露,从而极大地增加了被攻击的可能性
通常对于网络上所有服务所需要的数据包进出防火墙的二端口都要仔细考虑,否则会产生意想不到的情况。然而我们知道,当被防火墙保护的设备与外界通信时,绝大多数应用要求发出请求的系统本身提供一个端口,用来接收外界返回的数据包,而且这个端口一般是在1024到65536之间不确定的,如果不开放这些端口,通信将无法完成,这样就需要开放1024以上的全部端口,允许这些端口的数据包进出。而这就带来非常大的安全隐患。例如:用户网中有一台UNIX服务器,对内部用户开放了RPC服务,而这个服务是用在高端口的,那么这台服务器非常容易遭到基于RPC应用的攻击。
(4)如果网络结构比较复杂,那么对管理员而言配置访问控制规则将非常困难
当网络发展到一定规模时,在路由器上配置访问控制规则将会非常繁琐,在一个规则甚至一个地址处出现错误都有可能导致整个访问控制列表无法正常使用。
包过滤防火墙的缺点介绍二
1.不能防范恶意内部用户.
2.不能防范不通过防火墙的连接.
3.不能防范全部的威胁.
4.不能防范病毒.