防火牆最基本的功能就是隔離網路,透過將網路劃分成不同的區域(通常情況下稱為ZONE),制定出不同區域之間的存取控制策略來控制不同任程度區域間傳送的資料流。例如網際網路是不可信任的區域,而企業網路絡是高度信任的區域。以避免安全策略中禁止的一些通訊。它有控制資訊基本的任務在不同信任的區域。 典型信任的區域包括網際網路(一個沒有信任的區域) 和一個企業網路絡(一個高信任的區域) 。 最終標的是提供受控連通性在不同水平的信任區域透過安全政策的執行和連通性模型之間根據最少特權原則 。
類型: 個人型防火牆、網路層防火牆、應用層防火牆。
架設結構: 堡壘主機式防火牆、雙閘式防火牆、屏障雙閘式防火牆、屏障子網域式防火牆。
缺點: 正常狀況下,所有網際網路的封包軟體都應經過防火牆的過濾,這將造成網路交通的瓶頸,例如在攻擊性封包出現時,攻擊者會不時寄出封包,讓防火牆疲於過濾封包,而使一些合法封包軟體,亦無法正常進出防火牆。
防火牆雖然可以過濾網際網路的封包,但卻無法過濾內部網路的封包,因此若有人從內部網路攻擊時,防火牆是毫無用武之地的。
而電腦本身作業系統,亦可能一些系統漏洞,使入侵者可以利用這些系統漏洞來繞過防火牆的過濾,進而入侵電腦。
防火牆無法有效阻擋病毒的攻擊,尤其是隱藏在資料中的病毒。
沒有留言:
張貼留言