防火墙技术缺点_防火墙技术缺点是什么

防火墙主要有哪几类体系结构，分别说明其优缺点

安全基础 三代防火墙体系结构演变介绍

防火墙技术缺点_防火墙技术缺点是什么

防火墙技术缺点_防火墙技术缺点是什么

为了满足用户的更高要求，防火墙体系架构经历了从低性能的x86、PPC软件防火墙向高性能硬件防火墙的过渡，并逐渐向不但能够满足高性能，也需要支持更多业务能力的方向发展。

防火墙在经过几年繁荣的发展后，已经形成了多种类型的体系架构，并且这几种体系架构的设备并存互补，并不断进行演变升级。

防火墙体系架构“老中青”

防火墙的发展从代的PC机软件，到工控机、PC-Box，再到MIPS架构。第二代的NP、ASIC架构。发展到第三代的专用安全处理芯片背板交换架构，以及“All In One”集成安全体系架构。

为了支持更广泛及更高性能的业务需求，各个厂家全力发挥各自优势，推动着整个技术以及市场的发展。

目前，防火墙产品的三代体系架构主要为：

代架构：主要是以单一CPU作为整个系统业务和管理的核心，CPU有x86、PowerPC、MIPS等多类型，产品主要表现形式是PC机、工控机、PC-Box或RISC-Box等；

第二代架构：以NP或ASIC作为业务处理的主要核心，对一般安全业务进行加速，嵌入式CPU为管理核心，产品主要表现形式为Box等；

第三代架构：ISS（Integrated Security System）集成安全体系架构，以高速安全处理芯片作为业务处理的主要核心，采用高性能CPU发挥多种安全业务的高层应用，产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备，容量大性能高，各单元及系统更为灵活。

基于FDT指标的体系变革

衡量防火墙的性能指标主要包括吞吐量、报文转发率、并发连接数、每秒新建连接数等。

吞吐量和报文转发率是关系防火墙应用的主要指标，一般采用FDT（Full Duplex Throughput）来衡量，指64字节数据包的全双工吞吐量，该指标既包括吞吐量指标也涵盖了报文转发率指标。

FDT与端口容量的区别：端口容量指物理端口的容量总和。如果防火墙接了2个千兆端口，端口容量为2GB，但FDT可能只是200MB。

FDT与HDT的区别：HDT指半双工吞吐量（Half Duplex Throughput）。一个千兆口可以同时以1GB的速度收和发。按FDT来说，就是1GB；按HDT来说，就是2GB。有些防火墙的厂商所说的吞吐量，往往是HDT。

一般来说，即使有多个网络接口，防火墙的核心处理往往也只有一个处理器完成，要么是CPU，要么是安全处理芯片或NP、ASIC等。

对于防火墙应用，应该充分强调64字节数据的整机全双工吞吐量，该指标主要由CPU或安全处理芯片、NP、ASIC等核心处理单元的处理能力和防火墙体系架构来决定。

对于不同的体系架构，其FDT适应的范围是不一样的，如对于代单CPU体系架构其理论FDT为百兆级别，对于中高端的防火墙应用，必须采用第二代或第三代ISS集成安全体系架构。

基于ISS机构的第三代安全体系架构，充分继承了大容量GSR路由器、交换机的架构特点，可以在支持多安全业务的基础上，充分发挥高吞吐量、高报文转发率的能力。

防火墙体系架构经历了从低性能的x86、PPC软件防火墙向高性能硬件防火墙的过渡，并逐渐向不但能够满足高性能也需要支持更多业务能力的方向发展。

ISS集成安全体系

作为防火墙第三代体系架构，ISS根据企业未来对于高性能多业务安全的需求，集成安全体系架构，吸收了不同硬件架构的优势。

ISS架构灵活的模块化结构，综合报文过滤、状态检测、数据加解密功能、VPN业务、NAT业务、流量监管、攻击防范、安全审计以及用户管理认证等安全功能于一体，实现业务功能的按需定制和快速服务、响应升级。

ISS体系架构的主要特点：

1.采用结构化芯片技术设计的专用安全处理芯片作为安全业务的处理核心，可以大幅提升吞吐量、转发率、加解密等处理能力；结构化芯片技术可编程定制线速处理模块，以快速满足客户需求；

2.采用高性能通用CPU作为设备的管理中心和上层业务拓展平台，可以平滑移植并支持上层安全应用业务，提升系统的应用业务处理能力；

3.采用大容量交换背板承载大量的业务总线和管理通道，其中千兆Serdes业务总线和PCI管理通道物理分离，不仅业务层次划分清晰，便于管理，而且性能互不受限；

4.采用电信级机架式设计，无论是SPU安全处理单元、MPU主处理单元及其他各类板卡、电源、机框等模块在可扩展、可拔插、防辐射、防干扰、冗余备份、可升级等方面做了全方位考虑，真正地实现了安全设备的电信级可靠性和可用性；

5.不仅达到了安全业务的高性能而且实现了“All in One”，站在客户角度解决了多业务、多设备的整合，避免了单点设备故障和安全故障，大大降低了管理复杂度；

6.通过背板及线路接口单元LIU扩展可提供高密度的业务接口。

硬件，软件，混合式

硬件就是成本高，但是安全性好

软件就是便宜，安全性当然没有硬件的好

的是混合式，但是也

什么是防火墙的十大缺点？

防火墙有十大局限性：

一、防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据，防火墙无法检查。

二、防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内，谁都不可信，但绝大多数单位因为不方便，不要求防火墙防内。

三、防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备，就像门卫一样，要根据政策规定来执行安全，而不能自作主张。

四、防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备，但防火墙本身必须存在于一个安全的地方。

五、防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议，防火墙不能防止利用该协议中的缺陷进行的攻击。

六、防火墙不能防止利用系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该的漏洞进行攻击，防火墙不能防止。

七、防火墙不能防止受感染的文件的传输。防火墙本身并不具备查杀的功能，即使集成了第三方的防的软件，也没有一种软件可以查杀所有的。

八、防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。

九、防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密，防火墙是无能为力的。

十、防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己，目前还没有厂商保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。

复合型技术防火墙的缺点

复合型技术防火墙的缺点有以下几点 1、防火墙可以阻断攻击，但不能消灭攻击源。

2、防火墙不能抵抗最新的未设置策略的攻击漏洞。3、防火墙的并发连接数限制容易导致拥塞或者溢出。4、防火墙对合法开放的端口的攻击大多无法阻止。5、防火墙对待内部主动发起连接的攻击一般无法阻止。6、防火墙本身也会出现问题和受到攻击，依然有着漏洞和Bug。7、防火墙不处理。

状态检查防火墙技术的优缺点是什么？

优点：

1、比数据包过滤稍安全一点；

2、可掌握连接的状态及部分应用级状态信息；

3、较好的扩充性及延展性，支持未来新的网络协议时较简单；

4、网络流量性能比应用级好。

缺点：

1、直接连接危险性高，将使内部网络暴露在外部网络上；

2、之间查到连接状态，无法检查信息内容；

3、对于无状态的通信协议无法约束；

4、除了相当了解网络通信协议的状态特性，否者很难设定出无漏洞的检查语法；

5、对于新的通信协议需要以INSPECT语言来设定。

包过滤防火墙技术的优缺点是什么？

优点：

1.网络流量性能。

2.与网络通信协议无关，可支持所有的通信协议。

缺点：

1.直接连接的危险性高，将使内部网络暴露在外部网络上。

2.无法掌握连接的状态。

3.只可以确认通信端口号，但无法识别是何种通信协议。

4.访问控制条件难以设定。

5.无法检查应用程序的状态。

6.是一种叫不安全的方法。