防火墙不是万能的

防火墙给企业网加了一把安全的锁，但保护企业家园单靠一把锁是不够的。本期防火墙专题从另一个侧面反映当前防火墙的技术发展和使用状态，希望能引发读者的思考。目前很多网络系统中使用了防火墙，并进行了有效的管理，似乎防火墙是解决网络安全的万金油。但是，如下事实又让防火墙陷入沉默。“五一”期间的中美黑客大战，完全是一种古战场风格：“五一”之前互下战书，并被媒体宣传得沸沸扬扬，一周内刀来剑往，大批网站被入侵，主页被改得面目全非……在刀光剑影间，大家似乎并未发现盾牌！作为盾牌，防火墙首当其冲。其实，之前很多用户本把希望寄托在防火墙上，但事实上防火墙不堪重负，似乎有辱使命!在有防火墙保护的情况下，分析被入侵的网站,主要是Http服务器的主页被修改，甚至部分文件被删除。从主要的日志记录及监控内容看，几乎都是利用了Http服务本身的漏洞或脆弱性，其中使用最多的是针对Windows NT/2000的UNICODE漏洞攻击，事实上，防火墙所禁止的访问并未发现有任何突破。但Http服务的开放性，对大多数防火墙来说，或者开放IP域名加TCP80端口，或者进一步对URL过滤。对于UNICODE攻击，在防火墙上可以通过定义Http的URL过滤策略，让防火墙识别Http通信中的URL请求来加以控制。如可以禁止URL：/SCRIPTS/..%c1%1c..\，这是一种通过防火墙现有策略能控制的安全行为，对解决Http已经存在的安全隐患十分有效，只不过会在防火墙上定义很多规则。从原理上说，防火墙是完全能够抵御这些攻击的，但从客观使用上来说，防火墙又无法全部抵御这些攻击！抵御这些攻击在防火墙上的实现并不复杂，但在防火墙的管理上会增加大量的工作，管理者需要不断地升级识别库（攻击特征库），识别库的维护更是需要大量的工作，这对防火墙来说几乎是不可能的！面对越来越大的识别库，对防火墙性能的要求逐渐上升，要求在一开始时就预留较大的处理能力。因此，要求防火墙能在通常的包缓冲队列中就能发现攻击行为，而包缓冲队列不能太长，否则对用户将表现为很长的延时，这种处理是不可行的。如病毒监测，不能在防火墙上缓存一个兆级的文件以便成功检查和处理病毒，如果真有病毒，使用者还能谅解，但最终检查的结果为无病毒，用户必然不能接受；再如基于协议命令流的攻击检测，可能一系列的命令才构成一种攻击行为，防火墙处理起来就更难了。因此，防火墙不是万能的！它需要与防病毒系统和入侵检测系统等其他网络安全产品协同配合，方能从根本上抵御黑客的入侵。

恩，我是新手，看了多少理解点