【中国网管论坛】各类防火墙的优缺点(组图)

各种防火墙的优缺点中国网络管理论坛

1个数据包过滤防火墙

优势：

检查每个IP数据包的字段，例如源地址，目标地址，协议，端口等。防火墙将基于此信息应用过滤规则。防火墙可以识别和丢弃具有欺骗性源IP地址的数据包。

包过滤防火墙是两个网络之间唯一的访问源。因为所有通信都必须通过防火墙，所以绕过是困难的。

数据包过滤通常包含在路由器数据包中，因此不需要其他系统来处理此功能。

缺点：

难以配置。由于数据包过滤防火墙很复杂，因此人们经常忽略建立一些必要的规则，或者对现有规则进行错误的配置，从而在防火墙中留下漏洞。但是，在市场上，许多新版本的防火墙都在改进这一缺点。例如，开发人员已经实现了基于图形用户界面（GUI）的配置和更直接的规则定义。为某些服务打开的端口很危险，可能会用于其他传输。例如，Web服务器的默认端口为80，并且在计算机上安装了RealPlayer，然后它将搜索允许连接到RealAudio服务器的端口，而不管该端口是否被其他协议使用。 RealPlayer恰好使用端口80进行搜索。这样，RealPlayer会无意间使用了Web服务器的端口。

还有其他绕过防火墙并进入网络的方法，例如拨入连接。但这不是防火墙本身的缺点，而是您不应该仅依靠防火墙来实现网络安全的原因。

2。状态/动态检测防火墙

优势：

检查IP数据包每个字段的能力，并根据数据包中的信息遵循过滤规则。识别具有欺骗性源IP地址的数据包的能力。数据包过滤防火墙是两个网络之间唯一的访问源。因为所有通信都必须通过防火墙，所以绕过是困难的。基于应用程序信息（例如，基于已建立的FTP连接）验证包状态的能力，从而允许返回的FTP包通过。基于应用程序信息验证包状态的能力，例如允许先前经过身份验证的连接继续与授予的服务进行通信。记录有关所传递的每个软件包的详细信息的功能。基本上，可以记录防火墙用来确定程序包状态的所有信息，包括对程序包的应用程序请求，连接的持续时间以及内部和内进行自定义，具体取决于所使用的应用程序。某些应用程序可能根本不支持代理连接。

4。 NAT的优势：

所有内部IP地址都对外部人员隐藏。因此，网络外部没有人可以通过分配IP地址直接攻击网络中的任何特定计算机。如果由于某种原因缺少公共IP地址资源，则NAT可以使整个内部网络共享一个IP地址。可以启用基本的数据包筛选防火墙安全机制，因为如果所有传入的数据包都没有专门配置为NAT，则会被丢弃。内部网络上的计算机不可能直接访问外部网络

缺点：

NAT的缺点与包过滤防火墙的缺点相同。尽管它可以保证内部网络的安全性，但也有一些类似的局限性。此外，内部网络可以利用更广泛的木马程序，这些程序可以通过NAT建立外部连接，就像它可以通过数据包筛选防火墙一样容易。注意：制造商开发了许多防火墙，尤其是状态/动态检测防火墙，除了应有的功能外，它们还提供NAT功能。

5。个人防火墙

优点：增强了保护级别，不需要其他硬件资源。除了抵御外部攻击之外，个人防火墙还可以抵御内部攻击。个人防火墙为公用网络中的单个系统提供保护。例如，如果家庭用户使用调制解调器或ISDN / ADSL上网，那么硬件防火墙可能对他来说太昂贵了，或者太麻烦了。个人防火墙能够为用户隐藏网络上公开的信息，例如IP地址之类的信息。

缺点：

个人防火墙的主要缺点是它们只有一个与公共网络的物理接口。请记住，真正的防火墙应该监视和控制两个或多个网络接口之间的通信。这样，个人防火墙本身可能容易受到威胁的威胁，或者可能具有弱点，使得网络通信可以绕过防火墙的规则。

好吧，我们在上面介绍了几种类型的防火墙，并讨论了每种防火墙的优缺点。请记住，任何一种防火墙都只能为网络通信或数据传输提供更安全的安全性，但是我们不能完全依靠防火墙。除了依靠防火墙来确保安全性之外，我们还必须加强系统的安全性并提高我们自己的安全意识。这样，数据，通信和网站将更加安全。

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/tongxingongju/article-365092-1.html