防火墻的局限性

 

   
防火堵本身是篆于TCP/IP協(xié)議基礎(chǔ)而實現(xiàn).因此也就很難完全消除因這殘協(xié)議翻潤所造成安全成脅。例如一種利用TCP的協(xié)議瀚洞向服務(wù)器發(fā)起的SYN攻擊.最終將導(dǎo)致被攻擊的服務(wù)器停止《拒絕)接受所有的脹務(wù)漪求.也稱為拒絕服務(wù)攻擊DoS( Denial-o(-Service) ,實現(xiàn)非常簡單。攻擊者向服務(wù)器提供某種服務(wù)的端u不停地發(fā)送大最的TCP連接請求SYN報文.在發(fā)送了SY、連接請求之后.并不再繼續(xù)與服務(wù)器完成接下來的握手信號交換，使得股務(wù)器陷入等待墉求者發(fā)送第三次握手信號的狀態(tài)。處于這個等待周期的連接狀態(tài)也稱為服務(wù)器的半連接狀態(tài)。服務(wù)器會保待為該連接所分配的所有資碑，直到定時移超時。如果服務(wù)器開啟大段的處于半連接狀態(tài)的TCP連接.最終會導(dǎo)致服務(wù)器的資源被耗盡而不能夠再接受新的TCP連接清求.即便是一個正常的請求.SYN攻擊通常針對內(nèi)網(wǎng)中向外提供公共股務(wù)的服務(wù)器發(fā)起.單從攻擊者發(fā)送的一個單獨的TCP請求連接的SYN數(shù)據(jù)包，防火墉無法分麟它是出自于一個正常的連接請求。還是一個SYN攻擊。一些具有狀態(tài)檢側(cè)功能的防火J. .通過跟蹤輸人愉出數(shù)據(jù)包的連接狀態(tài)變化等信息.檢側(cè)數(shù)據(jù)包的首部狀態(tài)信息(如TCP的SYN位和ACK位等)的變化是否符合相應(yīng)的協(xié)議規(guī)則。形成的過此規(guī)則不僅越于數(shù)據(jù)包的首部字段.祠時還今考數(shù)據(jù)包的狀態(tài)變化等參數(shù)，以提離對內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全防御能力。但這種具有狀態(tài)檢洲功能的防火墉面臨的問題是，首先針對所有效據(jù)流徽的狀態(tài)檢側(cè)對防火姍的處理和計算能力都有較高的要求.并且狀態(tài)槍側(cè)會直接影響防火摘對每個數(shù)據(jù)包的處理速度;其次.對于上述SYN攻擊包來說.即便是具有狀態(tài)槍測功能的防火墉也很難準確地判斷出一個S丫N是否是攻擊包.特別是某些進行S丫N攻擊的攻擊村會采用地址哄毅.使甸次發(fā)送的SYN包用不間的派地址。

最后，防火強的安全防御能力與其處理速度是成反比的.防火墻的過a規(guī)則越復(fù)雜.對數(shù)據(jù)包檢查得越細.內(nèi)部網(wǎng)絡(luò)的安全性就越高.但相應(yīng)地處理梅一個數(shù)據(jù)包的速度也就會越二使得鎮(zhèn)個網(wǎng)絡(luò)的性能也受到彭響。