防火墙有十大局限性:
一、防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据,防火墙无法检查。
二、防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内,谁都不可信,但绝大多数单位因为不方便,不要求防火墙防内。
三、防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备,就像门卫一样,要根据政策规定来执行安全,而不能自作主张。
四、防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备,但防火墙本身必须存在于一个安全的地方。
五、防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议,防火墙不能防止利用该协议中的缺陷进行的攻击。
六、防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击,防火墙不能防止。
七、防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能,即使集成了第三方的防病毒的软件,也没有一种软件可以查杀所有的病毒。
八、防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时,可能会发生数据驱动式的攻击。
九、防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密,防火墙是无能为力的。
十、防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己,目前还没有厂商绝对保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。
即使没有和Internet相连,您的组织也会受未被授权访问的影响,例如,您公司的邮件(标准的邮政服务邮件)或您的个人邮件可能是您首要的安全性问题之一。然而,可能总会有人非法访问您的邮件(例如,邮政服务会有可能把它传递到一个错误地址),对机密信息的访问是冒险行为,无论您是把信息贮存到您的网络上还是或物理媒体上(例如纸)。
雇员的不满是另一个严重威胁安全性的例子。比如,雇员可能会把一切东西——从源代码到公司的政策——都透露给竞争者。另外还有,在饭馆或其他公共场所进行的随意的商业性谈话都可能危害您公司的安全性。总之,您的商业事务已经有许多安全问题需要处理,其中一些是目前可以说出来的,也有我们还没发现的。显然,防火墙不可能解决所有的安全问题。然而,对这些问题公司已有安全策略,您可以把这种策略贮存在防火墙的信息中。
许多公司已建立了昂贵的和颇有影响的防火墙防御来自Internet的进攻,从而保护数据。糟糕的是,许多公司仍然没有固定的政策来防止由于直接与他们系统相连而导致的数据盗窃或破坏。工业观察者已经把这种仔细的结合比作“在一间木屋里安装6英尺的双焊铁门”。也就是说,防火墙不能保护网络内部的盗窃。无论它是被授权用户使用,还是被那些具有授权用户的屏幕用名或口令的人使用,防火墙都不能制止这种盗窃。
现在,防火墙对它们所能提供的安全性的量和度有许多限制。总之,防火墙对于下列的安全性需求而言不是非常有力的工具。
1.保证数据的完整性
尽管许多新一代防火墙结合软件来抵制伴随数据包接收的病毒,但这并不是防火墙的职责。在一个大流量进、出数据包的大型网络中,要求防火墙检查每一个数据包和每个伴随数据包而来的二进制文件。因为超过1000种的病毒将会把网络速度减少到无法接受的程度。相反,您应该对接收文件的放置进行约束,并用防毒软件检查离线的数据包。在您检查文件之后,您可以把“干净”的文件送到网络的目的地。病毒是一个非常严重的安全性威胁,它的数量在近些年来增加迅速。
2.灾难防护
防火墙不能保护受到灾难的数据。它不能保护您的数据因为火灾、地震和别的灾难及由于疏忽产生的破坏。请注意,防火墙仅控制对数据的电子访问,但它并不提供对侵犯和毁坏的物理保护。
3.认证数据源
您的防火墙并不帮您认证数据源。您的防火墙不能补救TCP/IP大多数明显的安全性弱点——正在工作的任何人可能会对某些别的未授权的计算机发布信息。您的防火墙不能防止您受到TCP/IP邀请的捉弄。
4.数据的机密
在内部网络中,您的防火墙不能保护数据机密性。许多后期防火墙,包括越界数据包的编码工具,如果使用这些工具。数据包的接收者必须与发送者有一样的防火墙,然而这通常是不可能的。对防火墙的需求预示着您的公司必须把您的本地网连到外部的世界——Internet上。您可以通过评论和分析本地和Internet之间传输的通信类型和数量来制定出一种特定防火墙的设计方案。设计防火墙时,必须作出如下决策:
(1)决定是否让Internet的用户上载文件到网络服务器上。
(2)决定是否让Internet的用户从网络服务器上下载文件。
(3)决定您是否应该取消特别用户(例如竞争者)的所有权限。
(4)决定您的网络是否将包括Internet可访问的网页。
(5)决定您的站点是否包括支持Telnet/Ftp等服务。
(6)决定您的雇员应该有多少外出访问Internet和网页的权限。
(7)决定您是否将有一个敬业的员工来监测防火墙的安全性。
(8)如果一个侵犯者进入您的本地网,您要预测这种情况下您的网络和数据可能发生的最糟糕的情况。
一般防火墙都是都过端口来进行访问控制的,但这样有一个问题,只要你打开一个端口,例如80端口,就会有利用这一端口漏洞的攻击进来。此外,理论上所有应用都可以开在80端口,或者通过80端口建立http tunnel,所以风度效果是有限的。