大多數(shù)防火技巧都著重于防止外部數(shù)據(jù)包，而忽略了來自內(nèi)部的安全風(fēng)險(xiǎn)。例如。我們已經(jīng)討論過，包括紀(jì)念碑的防火，經(jīng)常會使用roll-over policy，允許外部的響應(yīng)數(shù)據(jù)包進(jìn)入，而拒絕外部的連接請求或服務(wù)請求。如果內(nèi)部主機(jī)先向外部攻擊者發(fā)送請求包，并誘導(dǎo)出帶有某種攻擊行為的響應(yīng)數(shù)據(jù)包，攻擊包就會順利通過防火墻。某臺服務(wù)器或建網(wǎng)設(shè)備在實(shí)施過程中的攻擊行為。同時(shí)，從內(nèi)部向外部發(fā)送的數(shù)據(jù)包有時(shí)會攜帶相關(guān)的內(nèi)部敏感信息，因?yàn)橄劳ǔ２粫Πl(fā)送出去的數(shù)據(jù)包做太多的事情。限制。因此，這些總信息很容易被外部獲取，成為對內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊的關(guān)鍵信息。

防火本身是在TCP/IP協(xié)議的基礎(chǔ)上實(shí)現(xiàn)的。因此，很難完全消除這種殘留協(xié)議的修改帶來的安全威脅。例如，利用TCP協(xié)議漏洞向服務(wù)器發(fā)起SYN攻擊，最終會導(dǎo)致被攻擊服務(wù)器停止接受所有服務(wù)請求。也叫Denial-o(-Service) ，實(shí)現(xiàn)起來很簡單。攻擊者向服務(wù)器提供某種服務(wù)。終端u不斷發(fā)送最大的TCP連接請求SYN報(bào)文。發(fā)送SY和連接請求后，不會繼續(xù)與服務(wù)器完成下一次握手信號交換，使服務(wù)器陷入等待請求方發(fā)送第三次握手信號的狀態(tài)。這個(gè)等待期間的連接狀態(tài)也稱為服務(wù)器的半連接狀態(tài)。服務(wù)器將保留為連接分配的所有資源，直到時(shí)間轉(zhuǎn)移超時(shí)。如果服務(wù)器在半連接狀態(tài)下開啟一大段TCP連接，最終會導(dǎo)致服務(wù)器資源耗盡，無法再接受新的TCP連接請求。即使是正常的請求。 SYN攻擊通常是針對內(nèi)網(wǎng)提供公共服務(wù)的服務(wù)器發(fā)起的。僅從攻擊者發(fā)送的單個(gè)TCP請求連接發(fā)送的SYN數(shù)據(jù)包，防火機(jī)無法判斷是來自正常連接請求還是SYN攻擊。有的防火J具有狀態(tài)檢測功能。通過跟蹤輸入輸出數(shù)據(jù)包的連接狀態(tài)變化等信息。遵守相應(yīng)的協(xié)議規(guī)則。形成的規(guī)則不僅超出了數(shù)據(jù)包的頭部字段，還考慮了數(shù)據(jù)包的狀態(tài)變化等參數(shù)，從而提高了內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全防御能力。但是這種狀態(tài)監(jiān)測功能的火災(zāi)探測功能面臨的問題是，首先，所有有效數(shù)據(jù)流的狀態(tài)探測端對消防系統(tǒng)的處理和計(jì)算能力要求很高。而狀態(tài)檢測端會直接影響火警檢測對每個(gè)數(shù)據(jù)包的處理速度；其次，對于上述SYN攻擊包，即使有狀態(tài)槍檢測功能，也很難準(zhǔn)確判斷一個(gè)SYN是否為攻擊包。特別是對于一些SYN攻擊包，攻擊村會使用地址哄騙，使得每次發(fā)送的SYN包都使用不同的發(fā)送地址。

最后，消防的強(qiáng)大安全防御能力與其處理速度成反比。防火墻的pass-a規(guī)則越復(fù)雜，對數(shù)據(jù)包的檢測越詳細(xì)，內(nèi)部網(wǎng)絡(luò)的安全性就越高。速度會更高，整個(gè)網(wǎng)絡(luò)的性能也會受到影響。

上述防火墻的局限性表明防火和不靈活為網(wǎng)絡(luò)提供了絕對的安全保護(hù)。在實(shí)際的雙網(wǎng)系統(tǒng)中，通常采用其他安全控制措施作為防火的必要補(bǔ)充。例如IDS（Intrusion“DetectionSystem”）可以作為繼消防之后的第二個(gè)解決方案，在它影響到網(wǎng)絡(luò)的運(yùn)行和性能之前，從消防或者網(wǎng)絡(luò)系統(tǒng)中的其他關(guān)鍵節(jié)點(diǎn)收集相應(yīng)的信息。并通過分析這些模擬信息來判斷是否存在攻擊企圖，當(dāng)忍者行為被發(fā)現(xiàn)時(shí)，可以及時(shí)向網(wǎng)絡(luò)報(bào)告，攻擊還可以從內(nèi)部觸發(fā)惡意行為，對于系統(tǒng)，以減少兩個(gè)網(wǎng)絡(luò)遭受的各種安全處罰。

我們專注高端建站，小程序開發(fā)、軟件系統(tǒng)定制開發(fā)、BUG修復(fù)、物聯(lián)網(wǎng)開發(fā)、各類API接口對接開發(fā)等。十余年開發(fā)經(jīng)驗(yàn)，每一個(gè)項(xiàng)目承諾做到滿意為止，多一次對比，一定讓您多一份收獲！