防火墙的局限性

 

   
防火堵本身是篆于TCP/IP协议基础而实现.因此也就很难完全消除因这残协议翻润所造成安全成胁。例如一种利用TCP的协议瀚洞向服务器发起的SYN攻击.最终将导致被攻击的服务器停止《拒绝)接受所有的胀务漪求.也称为拒绝服务攻击DoS( Denial-o(-Service) ,实现非常简单。攻击者向服务器提供某种服务的端u不停地发送大最的TCP连接请求SYN报文.在发送了SY、连接请求之后.并不再继续与服务器完成接下来的握手信号交换，使得股务器陷入等待墉求者发送第三次握手信号的状态。处于这个等待周期的连接状态也称为服务器的半连接状态。服务器会保待为该连接所分配的所有资碑，直到定时移超时。如果服务器开启大段的处于半连接状态的TCP连接.最终会导致服务器的资源被耗尽而不能够再接受新的TCP连接清求.即便是一个正常的请求.SYN攻击通常针对内网中向外提供公共股务的服务器发起.单从攻击者发送的一个单独的TCP请求连接的SYN数据包，防火墉无法分麟它是出自于一个正常的连接请求。还是一个SYN攻击。一些具有状态检侧功能的防火J. .通过跟踪输人愉出数据包的连接状态变化等信息.检侧数据包的首部状态信息(如TCP的SYN位和ACK位等)的变化是否符合相应的协议规则。形成的过此规则不仅越于数据包的首部字段.祠时还今考数据包的状态变化等参数，以提离对内部网络系统的安全防御能力。但这种具有状态检洲功能的防火墉面临的问题是，首先针对所有效据流徽的状态检侧对防火姗的处理和计算能力都有较高的要求.并且状态枪侧会直接影响防火摘对每个数据包的处理速度;其次.对于上述SYN攻击包来说.即便是具有状态枪测功能的防火墉也很难准确地判断出一个S丫N是否是攻击包.特别是某些进行S丫N攻击的攻击村会采用地址哄毅.使甸次发送的SYN包用不间的派地址。

最后，防火强的安全防御能力与其处理速度是成反比的.防火墙的过a规则越复杂.对数据包检查得越细.内部网络的安全性就越高.但相应地处理梅一个数据包的速度也就会越二使得镇个网络的性能也受到彭响。