防火墻如何檢測入侵

防火墻無法檢測入侵行為，只能通過設置復雜的訪問規則來防御這些入侵行為或者攻擊，當外部數據通過防火墻時會通過防火墻設置的這些規則，當該數據匹配到規則后則會被阻止，沒有匹配到規則的數據則可以安全通過防火墻，所以防火墻本身不具備入侵檢測功能。但是可以借助入侵檢測系統來解決防火墻無法檢測入侵的缺陷。防火墻主要是借助硬件和軟件的作用于內部和外部網絡的環境間產生一種保護的屏障，從而實現對計算機不安全因素阻斷。

防火墻有以下局限性：

• 防火墻可以阻斷攻擊，但不能消滅攻擊源： “各掃自家門前雪，不管他人瓦上霜”，就是目前網絡安全的現狀。互聯網上病毒、木馬、惡意試探等等造成的攻擊行為絡繹不絕。設置得當的防火墻能夠阻擋他們，但是無法清除攻擊源。

• 防火墻不能抵抗最新的未設置策略的攻擊漏洞：就如殺毒軟件與病毒一樣，總是先出現病毒，殺毒軟件經過分析出特征碼后加入到病毒庫內才能查殺。防火墻的各種策略，也是在該攻擊方式經過專家分析后給出其特征進而設置的。

• 防火墻的并發連接數限制容易導致擁塞或者溢出：由于要判斷、處理流經防火墻的每一個包，因此防火墻在某些流量大、并發請求多的情況下，很容易導致擁塞，成為整個網絡的瓶頸影響性能。而當防火墻溢出的時候，整個防線就如同虛設。

• 防火墻對服務器合法開放的端口的攻擊大多無法阻止：某些情況下，攻擊者利用服務器提供的服務進行缺陷攻擊。例如利用開放了3389端口取得沒打過sp補丁的win2k的超級權限、利用asp程序進行腳本攻擊等。

• 防火墻對的內部主動發起的連接攻擊一般無法阻止：防火墻對外部的一些攻擊可以進行有效的防御，但是那些木馬通過內部實施的攻擊行為則無法進行防護。

• 防火墻本身也會出現問題和受到攻擊：防火墻也是一個交互系統，也有硬件和軟件系統因此也存在漏洞和BUG，所以其本身也可能受到攻擊和出現軟硬件方面故障；

回答所涉及的環境：聯想天逸510S、Windows 10。