包過濾防火牆的缺點有什麼

　　我們經常所說的包過濾防火牆!它到底有什麼缺點呢?下面由小編給你做出詳細的包過濾防火牆的缺點介紹!希望對你有幫助!

　　包過濾防火牆的缺點介紹一

　　一些包過濾閘道器不支援有效的使用者認證。

　　規則表很快會變得很大而且複雜，規則很難測試。隨著表的增大和複雜性的增加，規則結構出現漏洞的可能性也會增加。

　　這種防火牆最大的缺陷是它依賴一個單一的部件來保護系統。如果這個部件出現了問題，會使得網路大門敞開，而使用者甚至可能還不知道。

　　在一般情況下，如果外部使用者被允許訪問內部主機，則它就可以訪問內部網上的任何主機。

　　包過濾防火牆只能阻止一種型別的IP欺騙，即外部主機偽裝內部主機的IP，對於外部主機偽裝外部主機的IP欺騙卻不可能阻止，而且它不能防止DNS欺騙。

　　雖然，包過濾防火牆有如上所述的缺點，但是在管理良好的小規模網路上，它能夠正常的發揮其作用。一般情況下，人們不單獨使用包過濾閘道器，而是將它和其他裝置***如堡壘主機等***聯合使用。

　　包過濾的工作是通過檢視資料包的源地址、目的地址或埠來實現的，一般來說，它不保持前後連線資訊，過濾決定是根據當前資料包的內容來做的。管理員可以做一個可接受機和服務的列表，以及一個不可接受機和服務的列表。在主機和網路一級，利用資料包過濾很容易實現允許或禁止訪問。

　　由此不難看出這個層次的防火牆的優點和弱點，由於防火牆只是工作在OSI的第三層***網路層***和第四層***傳輸層***，因此包過濾的防火牆的一個非常明顯的優勢就是速度，這是因為防火牆只是去檢查資料報的報頭，而對資料報所攜帶的內容沒有任何形勢的檢查，因此速度非常快。與此同時，這種防火牆的缺點也是顯而易見的，比較關鍵的幾點如下所述。

　　***1***由於無法對資料報的內容進行核查，一次無法過濾或稽核資料報的內容

　　體現這一問題的一個很簡單的例子就是：對某個埠的開放意味著相應埠對應的服務所能夠提供的全部功能都被開放，即使通過防火牆的資料報有攻擊性，也無法進行控制和阻斷。例如在一個簡單的Web伺服器，而包過濾的防火牆無法對資料報內容進行核查。因此，未打相應補丁的提供Web服務的系統，及時在防火牆的遮蔽之後，也會被攻擊著輕易獲取超級使用者的許可權。

　　***2***由於此種類型的防火牆工作在較低層次，防火牆本身所能接觸的資訊較少，所以它無法提供描述細緻事件的日誌系統。

　　此類防火牆生成的日誌常常只是包括資料報捕獲的時間、網路層的IP地址、傳輸層的埠等非常原始的資訊。至於這個資料報內容是什麼，防火牆不會理會，而這對安全管理員而言恰恰是很關鍵的。因為及時一個非常優秀的系統管理員，一旦陷入大量的通過/遮蔽的原始資料包資訊中，往往也是難以理清頭緒，這在發生安全事件時給管理員的安全審計帶來很大的困難。

　　***3***所有可能用到的埠***尤其是大於1024的埠***都必須開放，對外界暴露，從而極大地增加了被攻擊的可能性

　　通常對於網路上所有服務所需要的資料包進出防火牆的二埠都要仔細考慮，否則會產生意想不到的情況。然而我們知道，當被防火牆保護的裝置與外界通訊時，絕大多數應用要求發出請求的系統本身提供一個埠，用來接收外界返回的資料包，而且這個埠一般是在1024到65536之間不確定的，如果不開放這些埠，通訊將無法完成，這樣就需要開放1024以上的全部埠，允許這些埠的資料包進出。而這就帶來非常大的安全隱患。例如：使用者網中有一臺UNIX伺服器，對內部使用者開放了RPC服務，而這個服務是用在高階口的，那麼這臺伺服器非常容易遭到基於RPC應用的攻擊。

　　***4***如果網路結構比較複雜，那麼對管理員而言配置訪問控制規則將非常困難

　　當網路發展到一定規模時，在路由器上配置訪問控制規則將會非常繁瑣，在一個規則甚至一個地址處出現錯誤都有可能導致整個訪問控制列表無法正常使用。