防火牆的不足之處:
1. 無法檢測加密的web流量
如果你正在部署一個光鍵的入口網站,希望所有的網路層和應用層的漏洞都被遮蔽在應用程式之外。這個需求,對於傳統的網路防火牆而言,是個大問題。
由於網路防火牆對於加密的SSL流中的資料是不可見的,防火牆無法迅速截獲SSL資料流並對其解密,因此無法阻止應用程式的攻擊,甚至有些網路防火牆,根本就不提供資料解密的功能。
2. 普通應用程式加密後,也能輕易躲過防火牆的檢測
3. 對於WEB應用程式,防範能力不足
網路防火牆於1990年發明,而商用的Web伺服器,則在一年以後才面世。基於狀態檢測的防火牆,其設計原理,是基於網路層TCP和IP地址,來設定與加強狀態訪問控制列表(ACLs,Access Control Lists)。在這一方面,網路防火牆表現確實十分出色。
防火牆的不足之處:
1. 無法檢測加密的web流量
如果你正在部署一個光鍵的入口網站,希望所有的網路層和應用層的漏洞都被遮蔽在應用程式之外。這個需求,對於傳統的網路防火牆而言,是個大問題。
由於網路防火牆對於加密的SSL流中的資料是不可見的,防火牆無法迅速截獲SSL資料流並對其解密,因此無法阻止應用程式的攻擊,甚至有些網路防火牆,根本就不提供資料解密的功能。
2. 普通應用程式加密後,也能輕易躲過防火牆的檢測
如果你正在部署一個光鍵的入口網站,希望所有的網路層和應用層的漏洞都被遮蔽在應用程式之外。這個需求,對於傳統的網路防火牆而言,是個大問題。
由於網路防火牆對於加密的SSL流中的資料是不可見的,防火牆無法迅速截獲SSL資料流並對其解密,因此無法阻止應用程式的攻擊,甚至有些網路防火牆,根本就不提供資料解密的功能。
3. 對於WEB應用程式,防範能力不足
網路防火牆於1990年發明,而商用的Web伺服器,則在一年以後才面世。基於狀態檢測的防火牆,其設計原理,是基於網路層TCP和IP地址,來設定與加強狀態訪問控制列表(ACLs,Access Control Lists)。在這一方面,網路防火牆表現確實十分出色。