如题所述
另一些防火墙则提供不太严格的保护措施,仅仅拦阻一些众所周知存在问题的服务。 一般来说,防火墙在配置上是防止来自网络外部的,未经授权的交互式登录。这大大有助于防止破坏者登录到你网络中的计算机上。一些设计更为精巧的防火墙可以防止来自外部的传输流进入内部,但又允许内部的用户可以自由地与外部通信。如果你切断防火墙的话,它可以保护你免受网络上任何类型的攻击。 防火墙不能防范不经过防火墙的攻击。许多接入到Internet 的企业对通过 Internet 接入服务提供商(例如中国电信、中国网通等)的专用数据数据泄露非常担心。不幸得是,对于这些担心来说,一个U 盘可以泄露涉密数据。许多机构的管理层对Internet 接入非常恐惧,它们对应当如何保护通过调制解调器拨号访问没有连惯的政策。如果有人住在一所木屋中,却安装了一扇六英尺厚的钢制安全门。大家都会认为这样的行为很愚蠢。然而,有许多机构购买了价格昂贵的防火墙,但却忽视了通往其网络中的其它几扇后门。要使防火墙发挥作用,防火墙就必须成为整个机构安全架构中不可分割的一部分。防火墙的策略必须现实,能够反映出整个网络安全的水平。例如,一个保存着绝密数据的网络服务器根本不需要防火墙:它根本不应当被接入到Internet 上,这样的网络和Internet 必须做到物理上的隔离。 防火墙不能真正保护你防止的另一种危险是你网络内部的叛变者或白痴。尽管一个工业间谍可以通过防火墙传送信息,但他更有可能利用电话、传真机、 U 盘、移动硬盘等来传送信息。U 盘远比防火墙更有可能成为泄露你机构秘密的媒介!如果攻击者能找到内部的一个"对他有帮助"的雇员,通过欺骗他进入调制解调器池,攻击者可能会完全绕过防火墙打入你的网络。 另外,防火墙不能有效地防范像病毒这类东西的入侵。在网络上传输二进制文件的编码方式太多了,并且有太多的不同的结构和病毒,因此不可能查找 所有的病毒。换句话说,防火墙不可能将安全意识(security-consciosness)交给用户一方。总之,防火墙不能防止数据驱动的攻击:即通过将某种东西邮寄或拷贝到内部主机中,然后它再在内部主机中运行的攻击。过去曾发生过对不同版本的邮件寄送程序和幻像脚本(ghostscript)和免费PostScript 阅读器的这类攻击。一些防火墙只允许电子邮件通过,因而保护了网络免受除对电子邮件服务攻击之外的任何攻击。另一些防火墙则提供不太严格的保护措施,仅仅拦阻一些众所周知存在问题的服务。 一般来说,防火墙在配置上是防止来自网络外部的,未经授权的交互式登录。这大大有助于防止破坏者登录到你网络中的计算机上。一些设计更为精巧的防火墙可以防止来自外部的传输流进入内部,但又允许内部的用户可以自由地与外部通信。如果你切断防火墙的话,它可以保护你免受网络上任何类型的攻击。 防火墙不能防范不经过防火墙的攻击。许多接入到Internet 的企业对通过 Internet 接入服务提供商(例如中国电信、中国网通等)的专用数据数据泄露非常担心。不幸得是,对于这些担心来说,一个U 盘可以泄露涉密数据。许多机构的管理层对Internet 接入非常恐惧,它们对应当如何保护通过调制解调器拨号访问没有连惯的政策。如果有人住在一所木屋中,却安装了一扇六英尺厚的钢制安全门。大家都会认为这样的行为很愚蠢。然而,有许多机构购买了价格昂贵的防火墙,但却忽视了通往其网络中的其它几扇后门。要使防火墙发挥作用,防火墙就必须成为整个机构安全架构中不可分割的一部分。防火墙的策略必须现实,能够反映出整个网络安全的水平。例如,一个保存着绝密数据的网络服务器根本不需要防火墙:它根本不应当被接入到Internet 上,这样的网络和Internet 必须做到物理上的隔离。 防火墙不能真正保护你防止的另一种危险是你网络内部的叛变者或白痴。尽管一个工业间谍可以通过防火墙传送信息,但他更有可能利用电话、传真机、 U 盘、移动硬盘等来传送信息。U 盘远比防火墙更有可能成为泄露你机构秘密的媒介!如果攻击者能找到内部的一个"对他有帮助"的雇员,通过欺骗他进入调制解调器池,攻击者可能会完全绕过防火墙打入你的网络。 另外,防火墙不能有效地防范像病毒这类东西的入侵。在网络上传输二进制文件的编码方式太多了,并且有太多的不同的结构和病毒,因此不可能查找所有的病毒。换句话说,防火墙不可能将安全意识(security-consciosness)交给用户一方。总之,防火墙不能防止数据驱动的攻击:即通过将某种东西邮寄或拷贝到内部主机中,然后它再在内部主机中运行的攻击。
温馨提示:答案为网友推荐,仅供参考
