防火墙技术的发展离不开社会需求的变化. 目前, 防火墙也有一些根本无法解决的缺陷和不足.
1. 防火墙限制了许多有用的网络服务.
随着远程办公的增长, 要求防火墙既能抵抗外部攻击, 又能允许合法的远程访问, 做到更细粒度的访问控制. 但是, 为了提高被保护网络的安全性, 防火墙限制或关闭了很多有用但存在安全缺陷的网络服务.
2. 防火墙无法防护内部网络用户的攻击.
由于黑客攻击的工具在 Internet 上随手可及, 使内部网络的潜在威胁大大增加, 这种威胁既可以是外网的人员, 也可以是内网用户. 目前防火墙只提供对外部网络用户攻击的防护, 对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性.
3. Internet 防火墙必须深入检查信息流的内容.
Internet 防火墙必须深入检查信息流的内容来确认出恶意行为并阻止它们, 防火墙不能完全防止传送已感染病毒的软件或文件. 例如, 一个数据型攻击可能导致主机修改与安全相关的文件, 使入侵者很容易获得对系统的访问权.
4. 防火墙不能防备全部的网络安全问题.
防火墙是在已知的攻击模式下制定相应的安全策略的, 它只能对现在已知的网络威胁起作用.
5. 防火墙不能防范不通过它的连接.
防火墙一般位于内部网络的边界上, 监控所有通过它的通信. 如果信息能够通过无线接入技术或拨号访问等方式绕过防火墙进出网络, 那么防火墙就没有任何用处.
依靠防火墙难以防范所有的攻击行为, 这就需要防火墙技术, 入侵检测技术, 病毒检测技术的有效协同, 共同完成保护网络安全的任务.
来源: http://netsecurity.51cto.com/art/201809/583417.htm