2024年10月防火墙的优缺点（防火墙分为哪两种类型比较它们在维护网络安全方面的优缺点）

　　⑴防火墙的优缺点（防火墙分为哪两种类型比较它们在维护网络安全方面的优缺点

　　⑵防火墙分为哪两种类型比较它们在维护网络安全方面的优缺点

　　⑶按传统理论,防火墙可分为包过滤(Packetfiltering)和应用代理(ApplicationProxy)两种类型。、包过滤型(PacketFilter):包过滤通常安装在路由器上,并且大多数商用路由器都提供了包过滤的功能。另外,PC机上同样可以安装包过滤软件。包过滤规则以IP包信息为基础,对IP源地址、IP目标地址、封装协议(TCP/UDP/ICMPIPTunnel)、端口号等进行筛选。、代理服务型(ProxyService):代理服务型防火墙通常由两部分构成:服务器端程序和客户端程序。客户端程序与中间节点(ProxyServer)连接,中间节点再与要访问的外部服务器实际连接。与包过滤型防火墙不同的是,内部网与外部网之间不存在直接的连接,同时提供日志(Log)及审计(Audit)服务。、复合型(Hybrid)防火墙:把包过滤和代理服务两种方法结合起来,可以形成新的防火墙,所用主机称为堡垒主机(BastionHost),负责提供代理服务。、其它防火墙:路由器和各种主机按其配置和功能可组成各种类型的防火墙。双端主机防火墙(Dyal-HomedHostFirewall)堡垒主机充当网关,并在其上运行防火墙软件。内部网与外部网之间不能直接进行通信,必须经过堡垒主机。屏蔽主机防火墙(ScreenedHostFirewall)一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的唯一节点,确保内部网不受外部非授权用户的攻击。加密路由器(EncryptingRouter):加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。其实目前防火墙产品非常之多，划分的标准也比较杂。主要分类如下：.从软、硬件形式上分为软件防火墙和硬件防火墙以及芯片级防火墙。.从防火墙技术分为“包过滤型”和“应用代理型”两大类。.从防火墙结构分为《单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。.按防火墙的应用部署位置分为边界防火墙、个人防火墙和混合防火墙三大类。.按防火墙性能分为百兆级防火墙和千兆级防火墙两类。

　　⑷防火墙的优点,缺点和功能是什么

　　⑸防火墙的功能防火墙是网络安全的屏障：一个防火墙（作为阻塞点、控制点能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。防火墙可以强化网络安全策略：通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。对网络存取和访问进行监控审计：如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。防止内部信息的外泄：通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用，防火墙还支持具有Inter服务特性的企业内部网络技术体系VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。

　　⑹思科防火墙的优缺点分别是：

　　⑺优点：思科防火墙对每条传入和传出网络的包实行低水平控制。对每个IP包的字段都被检查，例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。

　　⑻思科防火墙可以识别和丢弃带欺骗性源IP地址的包。包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙，绕过是困难的。

　　⑼包过滤通常被包含在路由器数据包中，所以不必额外的系统来处理这个特征。

　　⑽缺点：配置困难。因为包过滤防火墙很复杂，人们经常会忽略建立一些必要的规则，或者错误配置了已有的规则，在防火墙上留下漏洞。

　　⑾然而，在市场上，许多新版本的防火墙对这个缺点正在作改进，如开发者实现了基于图形化用户界面(GUI)的配置和更直接的规则定义。

　　⑿内网到外网：内网的数据到外网防火墙是放行的。外网的数据到内网防火墙是拒绝的。

　　⒀配置策略使数据包能从外网进入防火墙：

　　⒁ciscoasa(config)#aess-listextendedpermitipanyany。

　　⒂ciscoasa(config)#aess-groupininterfaceoutside。

　　⒃dmz到外网：DMZ的数据到外网防火墙是放行的。外网的数据到DMZ防火墙是拒绝的。

　　⒄配置dmz到outside的策略：

　　⒅ciscoasa(config)#aess-listextendedpermitipanyany。

　　⒆ciscoasa(config)#aess-groupininterfaceoutside。

　　⒇优点：成本低，不需要额外的硬件源，可以抵挡内部的攻击。缺点：个人防火墙主要的缺点是对公共网络只有一个物理接口，个人防火墙本身可能会容易受到威胁。

　　⒈防火墙主要有哪几类体系结构，分别说明其优缺点

　　⒉防火墙主要的体系结构：、包过滤型防火墙、双宿/多宿主机防火墙、被屏蔽主机防火墙、被屏蔽子网防火墙、其他防火墙体系结构优缺点：、包过滤型防火墙优点：（处理数据包的速度较快（与代理服务器相比；（实现包过滤几乎不再需要费用；（包过滤路由器对用户和应用来说是透明的。缺点：（包过滤防火墙的维护较困难；（只能阻止一种类型的IP欺骗；（任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险，一些包过滤路由器不支持有效的用户认证，仅通过IP地址来判断是不安全的；（不能提供有用的日者或者根本不能提供日志；（随着过滤器数目的增加，路由器的吞吐量会下降；（IP包过滤器可能无法对网络上流动的信息提供全面的控制。、双宿/多宿主机防火墙优点：（可以将被保护的网络内部结构屏蔽起来，增强网络的安全性；（可用于实施较强的数据流监控、过滤、记录和报告等。缺点：（使访问速度变慢；（提供服务相对滞后或者无法提供。、被屏蔽主机防火墙优点：（其提供的安全等级比包过滤防火墙系统要高，实现了网络层安全（包过滤和应用层安全（代理服务；（入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统；（安全性更高。缺点：路由器不被正常路由。、被屏蔽子网防火墙优点：安全性高，若入侵者试图破坏防火墙，他必须重新配置连接三个网的路由，既不切断连接，同时又不使自己被发现，难度系数高。缺点：（不能防御内部攻击者，来自内部的攻击者是从网络内部发起攻击的，他们的所有攻击行为都不通过防火墙；（不能防御绕过防火墙的攻击；（不能防御完全新的威胁：防火墙被用来防备已知的威胁；（不能防御数据驱动的攻击：防火墙不能防御基于数据驱动的攻击。

　　⒊状态检查防火墙技术的优缺点是什么

　　⒋优点：、比数据包过滤稍安全一点；、可掌握连接的状态及部分应用级网关状态信息；、较好的扩充性及延展性，支持未来新的网络协议时较简单；、网络流量性能比应用级网关好。缺点：、直接连接危险性高，将使内部网络暴露在外部网络上；、之间查到连接状态，无法检查信息内容；、对于无状态的通信协议无法约束；、除了相当了解网络通信协议的状态特性，否者很难设定出无漏洞的检查语法；、对于新的通信协议需要以INSPECT语言来设定。

　　⒌传统防火墙和分布式放火墙各自优缺点

　　⒍分布式防火墙的最大特点不再只对网络边缘负责安全防护，而是将防火墙功能渗入网络的各个角落，甚至远程访问用户，不仅对外部网络向内部网络的通信进行过滤，而且还可根据需要对内部网络各用户之间通信进行过滤。它的防护理念就是除了自己以外任何用户的访问都是“不可信“的，都是需要过滤。与以前的个人防火墙软件产品有相似之处，但不完全一样。首先它们管理方式迥然不同，个人防火墙的安全策略由系统使用者自己设置，目标是防外部攻击，而针对桌面应用的主机防火墙的安全策略由整个系统的管理员统一安排和设置，除了对该桌面机起到保护作用外，也可以对该桌面机的对外访问加以控制，并且这种安全机制是桌面机的使用者不可见和不可改动的。其次，不同于个人防火墙面向个人用户，针对桌面应用的主机防火墙是面向企业级客户的，它与分布式防火墙其它产品共同构成一个企业级应用方案，形成一个安全策略中心统一管理，安全检查机制分散布置的分布式防火墙体系结构。它与传统的边界式防火墙仅对外部网络用户访问不信任的防护理念也存在根本区别。希望对楼主有所帮助哦~

　　⒎应用层网关防火墙和电路层防火墙的优缺点

　　⒏应用层网管防火墙可以有效保护应用程序的网络访问控制，缺点是对DDOS等无能为力。电路层防火墙主要是抵挡流量攻击，对病毒，木马等程序访问网络无能为力