防火墻會出現哪些問題

傳統防火墻存在：

• 無法檢測加密的Web流量

由于網絡防火墻對于加密的SSL流中的數據是不可見的，防火墻無法迅速截獲SSL數據流并對其解密，因此無法阻止應用程序的攻擊，甚至有些網絡防火墻，根本就不提供數據解密的功能。

• 普通應用程序加密后，也能輕易躲過防火墻的檢測

網絡防火墻無法看到的，不僅僅是SSL加密的數據。對于應用程序加密的數據，同樣也不可見。在如今大多數網絡防火墻中，依賴的足靜態的特征庫，與入侵監測系統(IDS, Intrusion Detect System)的原理類似。只有當應用層攻擊行為的特征與防火墻中的數據庫中已有的特征完全匹配時，防火墻才能識別和截獲攻擊數據。

但如今，采用常見的編碼技術，就能夠地將惡意代碼和其他攻擊命令隱藏起來，轉換成某種形式，既能欺騙前端的網絡安全系統，又能夠在后臺服務器中執行。這種加密后的攻擊 代碼，只要與防火墻規則庫中的規則不一樣，就能夠躲過網絡防火墻，成功避開特征匹配。

• 對于Web應用程序，防范能力不足

由于體系結構的原因，即使足最先進的網絡防火墻，在防范Web應用程序時，由于無法全面控制網絡、應用程序和數據流，也無法截獲應用層的攻擊。由于對于整體的應用數據流，缺乏完整的、基于會話(Session)級別的監控能力，因此很難預防新的末知的攻擊。

• 應用防護特性，只適用于簡單情況

目前的數據中心服務器，時常會發生變動，比如:

(1)定期需要部署新的應用程序;

(2)經常需要增加或更新軟件模塊;

(3)QA們經常會發現代碼中的bug，已部署的系統需要定期打補丁。

在這樣動態復雜的環境中，安全專家們需要采用靈活的、粗粒度的方法，實施有效的防護策略。

• 無法擴展帶深度檢測功能

基于狀態檢測的網絡防火墻，如果希望只擴展深度檢測( deep inspection)功能,而沒有相應增加網絡性能，這是不行的。

真正的針對所有網絡和應用程序流量的深度檢測功能，需要空前的處理能力,來完成大量的計算任務，包括以下幾個方面:

(1)SSL加密/解密功能;

(2)完全的雙向有效負載檢測;

(3)確保所有合法流量的正常化;

(4)廣泛的協議性能;

這些任務，在基于標準PC硬件上，是無法高效運行的，雖然一些網絡防火墻供應商采用的是基于ASIC的平臺，但進一步研究，就能發現:舊的基于網絡的ASIC平臺對于新的深度檢測功能是無法支持的。

回答所涉及的環境：聯想天逸510S、Windows 10。