信息化觀察網(wǎng)

隨著網(wǎng)絡(luò)安全形勢的日益嚴(yán)峻，越來越多的企業(yè)已經(jīng)意識到網(wǎng)絡(luò)防御的重要性，因此很多公司都采用防火墻技術(shù)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻擋來自外部的網(wǎng)絡(luò)入侵。但因技術(shù)有限防火墻也有一些根本無法解決的缺陷和不足。

（1）防火墻限制了許多有用的網(wǎng)絡(luò)服務(wù)。隨著遠(yuǎn)程辦公的增長，要求防火墻既能抵抗外部攻擊，又能允許合法的遠(yuǎn)程訪問，做到更細(xì)粒度的訪問控制。但是，為了提高被保護(hù)網(wǎng)絡(luò)的安全性，防火墻限制或關(guān)閉了很多有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù)。

（2）防火墻無法防護(hù)內(nèi)部網(wǎng)絡(luò)用戶的攻擊。由于黑客攻擊的工具在Internet上隨手可及，使內(nèi)部網(wǎng)絡(luò)的潛在威脅大大增加，這種威脅既可以是外網(wǎng)的人員，也可以是內(nèi)網(wǎng)用戶。目前防火墻只提供對外部網(wǎng)絡(luò)用戶攻擊的防護(hù)，對來自內(nèi)部網(wǎng)絡(luò)用戶的攻擊只能依靠內(nèi)部網(wǎng)絡(luò)主機(jī)系統(tǒng)的安全性。

（3）Internet防火墻必須深入檢查信息流的內(nèi)容來確認(rèn)出惡意行為并阻止它們，防火墻不能完全防止傳送已感染病毒的軟件或文件。例如，一個(gè)數(shù)據(jù)型攻擊可能導(dǎo)致主機(jī)修改與安全相關(guān)的文件，使入侵者很容易獲得對系統(tǒng)的訪問權(quán)。

（4）防火墻不能防備全部的網(wǎng)絡(luò)安全問題。防火墻是在已知的攻擊模式下制定相應(yīng)的安全策略的，它只能對現(xiàn)在已知的網(wǎng)絡(luò)威脅起作用。

（5）防火墻不能防范不通過它的連接。防火墻一般位于內(nèi)部網(wǎng)絡(luò)的邊界上，監(jiān)控所有通過它的通信。如果信息能夠通過無線接入技術(shù)或撥號訪問等方式繞過防火墻進(jìn)出網(wǎng)絡(luò)，那么防火墻就沒有任何用處。

依靠防火墻難以防范所有的攻擊行為，這就需要防火墻技術(shù)、入侵檢測技術(shù)、病毒檢測技術(shù)的有效協(xié)同，共同完成保護(hù)網(wǎng)絡(luò)安全的任務(wù)。

（原標(biāo)題：想要更好的保護(hù)網(wǎng)絡(luò)安全，除了防火墻技術(shù)，還需要什么？）