防火墙到底能不能防DDOS？
IT168网站原创
　作者: klwjl　编辑:
在研究这个问题之前，我们先来谈谈什么是DDOS：什么是DDOS：&&& DDoS(分布式拒绝服务)攻击是利用TCP/IP协议漏洞进行的一种简单而致命的网络攻击，由于TCP/IP协议的这种会话机制漏洞无法修改，因此缺少直接有效的防御手段。大量实例证明利用传统设备被动防御基本是徒劳的，而且现有防火墙设备还会因为有限的处理能力陷入瘫痪，成为网络运行瓶颈；另外，攻击过程中目标主机也必然陷入瘫痪。&&& DDOS主要采用的是SYN FLOOD及其变种的攻击，现在新的比如CC的攻击也属于这个范畴但是CC更智能一些，它用的是多次读取同一个服务器存在的文件的方式，现有的DDOS防火墙和防火墙软件都是采用的防止SYN以及FLOOD的攻击没有做重复包的检测，所以导致了大多数防火墙对CC造成的DDOS攻击没效果；防火墙是基于内核的网桥式重复包检测、SYN FLOOD过滤、ARP过滤，这样即便你是伪造的包，但是因为防火墙没这个存在的ARP地址而导致这个是一个不合法的包从而被防火墙过滤掉，如果一个数据包想通过这个防火墙就必须符合以下的特点，一是已经存在的ARP这个可以被验证是正确的ARP，二是这个数据包不是重复的包（200NS以内），三是这个连接地址是存在的，四这个数据包的状态是持续的连接，如果不是持续的连接一样被过滤掉。&&& DDOS现在比较流行的一种方式是CC攻击及CC变种攻击，攻击端口，这往往发生在网络游戏服务器上，导致玩家进入游戏界面选择和建立不了人物。其基本原理是：攻击发起主机(attacker host) 多次通过网络中的HTTP代理服务器(HTTP proxy) 向目标主机(target host) 上开销比较大的CGI页面发起HTTP请求造成目标主机拒绝服务( Denial of Service ) 。这是一种很聪明的分布式拒绝服务攻击( Distributed Denial of Service ) 与典型的分布式拒绝服务攻击不同，攻击者不需要去寻找大量的傀儡机，代理服务器充当了这个角色。&&& 那么，机房采用的硬件防火墙能不能很好的防御DDOS攻击呢？&&& 要研究这个问题，还是先来看看国内的机房都采用哪些硬件防火墙：其实目前国内抗DDOS防火墙比较知名的，同时信誉度和使用效果也比较好的应该是黑洞、金盾和Dosnipe的产品。一些其他的所谓&XX盾DDoS防火墙&多半是抄袭篡改或者完全就是没有实际效果只是用来骗钱的东西。Dosnipe防火墙：&&& Dosnipe防火墙硬件架构部分主体采取工业计算机(工控机)，可以承受恶劣的运行环境，保障设备稳定运行；软件平台是FreeBSD，核心部分算法是自主研发的单向一次性非法数据包识别方法，所有的Filter机制都是在挂在驱动级。可以彻底解决所有dos/ddos攻击(synflood、ackflood、udpflood、icmpflood、igmpflood、arpflood、全连接等)，针对CC攻击，已推出DosNipe V8.0版本，此核心极其高效安全，在以往抵御一切拒绝服务攻击的基础上，新增加了抵挡CC攻击，新算法可以高效的抵御所有CC攻击及其变种，识别准确率为100%，没有任何误判的可能性。&&& Dosnipe防火墙去年升级之后，具备更多的新特性：&彻底解决最新的M2攻击。&支持多线路，多路由接入功能。&支持流量控制功能。&更强大的过滤功能。 &最新升级，彻底高效的解决所有DDOS攻击，cc攻击的识别率为100％黑洞抗DDoS防火墙&&& 黑洞抗DDoS防火墙是国内中应用比较广泛的一款抗DoS、DDoS攻击产品，其技术比较成熟，而且防护效果显著，已经得到各大机构的共同认可。黑洞目前分百兆、千兆两款产品，分别可以在相应网络环境下实现对高强度攻击的有效防护，性能远远超过同类防护产品。千兆黑洞主要用于保护骨干线路上的网络设备如防火墙、路由器，百兆黑洞主要用于保护子网和服务器，使用多种算法识别攻击和正常流量，能在高攻击流量环境下保证95%以上的连接保持率和95%以上的新连接发起成功率，核心算法由汇编实现，针对Intel IA32体系结构进行了指令集优化。对标准TCP状态进行了精简和优化，效率远高于目前流行的SYN Cookie和Random Drop等算法。&&& 黑洞所带来的防护:&自身安全:无IP地址，网络隐身。&能够对SYN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各类DoS攻击进行防护。&可以有效防止连接耗尽，主动清除服务器上的残余连接，提高网络服务的品质、抑制网络蠕虫扩散。&可以防护DNS Query Flood，保护DNS服务器正常运行。&可以给各种端口扫描软件反馈迷惑性信息，因此也可以对其它类型的攻击起到防护作用。金盾抗DDOS防火墙&&& 金盾抗DDOS防火墙由合肥中新软件有限公司开发，是一款针对ISP接入商、IDC服务商开发的专业性比较强的专业防火墙。适用于Internet平台所有企业与个人用户，尤其对一些大型的娱乐站点和重要企业站点的网络流畅起到了重要的安全保护作用。&&& 产品目前采用了最底层驱动技术，提供完善的面向连接操作。公司在长期ISP运营和致力于网络安全的研究过程中，研究和发明了一种防御和抵抗拒绝服务攻击的解决办法。测试的效果表明，目前的防御算法对所有已知的拒绝服务攻击是免疫的，也就是说，是完全可以抵抗已知DoS/DDoS攻击的。&&& 金盾抗DDOS防火墙可以抵御多种拒绝服务攻击及其变种，可防各类 DoS/DDoS攻击，如 SYN Flood、TCP Flood，UDP Flood，ICMP Flood及其各种变种如Land，Teardrop，Smurf，Ping of Death等。 &&& 据说全国有近半的电信和网通机房都有其产品，金盾防火墙是专门针对DDOS攻击和黑客入侵而设计的专业级防火墙，该设备采用自主研发的新一代抗拒绝攻击算法，可达到10万－100万个并发攻击的防御能力，同时对正常用户的连接和使用没有影响。专用得体系结构可改变TCP/IP的内核，在系统核心实现防御拒绝攻击的算法，并创造性的将算法实现在网络驱动层，效率没有受到限制。同时可防御多种拒绝服务攻击及其变种，如：SYN Flood。TCP Flood、UDP Flood、ICMP Flood及其变种Land、Teardrop、Smurf、Ping of Death等等。分析：&&& 当然也有一些技术人员提出观点，认为从原则上说，上面类似产品不能说是防火墙，应该说一种异常流量清洗系统；现在的DDoS防御技术在防火墙也有，但防火墙的能力有限，不能很深入的针对每一个阀值参数进行分析和执行，而只有一个执行，而且执行的度量是定死了；没有一个学习后再细化，这就是防火墙的弱点，但这种产品一般是在高带宽流量的环境应用，说白一点，是放到运营商上面应用，所以产品的性能要求十分严苛，要经得起考验，这不是闹着玩；因为这套东西，运营商拿去也是给增值服务客户应用的，要收钱的，如果不能抵御一定流量的攻击客户肯定会翻脸。&&& 那么，大家最关心的问题：这些硬件防火墙到底能不能防DDOS呢？这些硬件防火墙到底能不能防DDOS：&&& 大体上说是可以的，根据我们的了解，国内大部分机房都是表示金盾效果还过得去，黑洞效果则更好一些，而Dosnipe由于合作的机房相对要少一些，所以收到的反馈意见不多，不过西南地区的一个电信机房代理商告诉我机房加装Dosnipe防火墙之后确实杜绝了不少普通流量的攻击。&&& 但是，如果DDOS攻击者加大攻击的流量，大量消耗机房的出口总带宽时，任何一款防火墙都相当于摆设，因为不管防火墙处理能力有多强，出去的带宽已经被耗尽了，整个机房在外面看来就都是处于掉线状态，就像一个大门已经挤满了人，不管你在门里安排多少个警卫检查都没用，外面的人还是进不来，而现在的攻击者的行为大部分是出于商业目的，动辄G级别的攻击，一些机房本来带宽就不是很足够，一遭到大流量的攻击肯定是整个机房大面积掉线，防火墙虽然检测到攻击，也只能是过滤掉那些非法数据包，保护内部的网络设备和服务器不受重创，但掉线是机房总带宽不足所导致，用再好的防火墙都无济于事。&&& 因此，即使很多机房都号称采用多好的硬件防火墙，可以防御多大流量的攻击，但如果你的服务器真的遭到大流量攻击，机房还是不敢放你进去，因为会影响到其他服务器的正常访问，而且托管一台服务器收取的费用本来就不多，为了做成这么一笔小生意而招惹大麻烦，运营商肯定觉得不划算，最可怜的还是那些机房的网管人员，得手忙脚乱的封IP。总结：　　对付DDOS是一个比较复杂而庞大的系统工程，想仅仅依靠某种系统或产品防住DDOS是不现实的，可以肯定的是，完全杜绝DDOS目前是不可能的，但通过适当的措施抵御90％的DDOS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDOS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDOS攻击。　　所以，硬件防火墙是否能够防DDOS这个问题的答案其实是非常令人心酸的，从理论上说，确实有效果，但是有效果又怎么样，遭到攻击的网站和服务器会被各个机房和运营商当作瘟疫一样防着，除了个别带宽充足、比较有实力的运营商，基本上没人敢接这样的客户。
大学生分期购物销量榜
已有条评论
IT168企业级如何鉴别硬件防火墙性能差异 - 王朝网络 -
分享&&&&&当前位置: &&&&&&&&如何鉴别硬件防火墙性能差异&&&　　有一些问题常令用户困惑：在防火墙产品的功能上，各个厂商的描述十分雷同，一些“后起之秀”与知名品牌极其相似。面对这种情况，该如何鉴别?描述得十分类似的产品，即使是同一个功能，在具体实现上、在可用性和易用性上，个体差异也十分明显。　　一、网络层的访问控制　　所有防火墙都必须具备此项功能，否则就不能称其为防火墙。当然，大多数的路由器也可以通过自身的ACL来实现此功能。　　1.规则编辑　　对网络层的访问控制主要表现在防火墙的规则编辑上，我们一定要考察:对网络层的访问控制是否可以通过规则表现出来?访问控制的粒度是否足够细?同样一条规则，是否提供了不同时间段的控制手段?规则配置是否提供了友善的界面?是否可以很容易地体现网管的安全意志?　　2.IP/MAC地址绑定　　同样是IP/MAC地址绑定功能，有一些细节必须考察，如防火墙能否实现IP地址和MAC地址的自动搜集?对违反了IP/MAC地址绑定规则的访问是否提供相应的报警机制?因为这些功能非常实用，如果防火墙不能提供IP地址和MAC地址的自动搜集，网管可能被迫采取其他的手段获得所管辖用户的IP与MAC地址，这将是一件非常乏味的工作。　　3、NAT(网络地址转换)　　这一原本路由器具备的功能已逐渐演变成防火墙的标准功能之一。但对此一项功能，各厂家实现的差异非常大，许多厂家实现NAT功能存在很大的问题:难于配置和使用，这将会给网管员带来巨大的麻烦。我们必须学习NAT的工作原理，提高自身的网络知识水平，通过分析比较，找到一种在NAT配置和使用上简单处理的防火墙。　　二、应用层的访问控制　　这一功能是各个防火墙厂商的实力比拼点，也是最出彩的地方。因为很多基于免费操作系统实现的防火墙虽然可以具备状态监测模块(因为Linux、FreeBSD等的内核模块已经支持状态监测)，但是对应用层的控制却无法实现“拿来主义”，需要实实在在的编程。　　对应用层的控制上，在选择防火墙时可以考察以下几点。　　1.是否提供HTTP协议的内容过滤?　　目前企业网络环境中，最主要的两种应用是WWW访问和收发电子邮件。能否对WWW访问进行细粒度的控制反映了一个防火墙的技术实力。　　2.是否提供SMTP协议的内容过滤?　　对电子邮件的攻击越来越多:邮件炸弹、邮件病毒、泄漏机密信息等等，能否提供基于SMTP协议的内容过滤以及过滤的粒度粗细成了用户关注的焦点。　　3. 是否提供FTP协议的内容过滤?　　在考察这一功能时一定要细心加小心，很多厂家的防火墙都宣传说具备FTP的内容过滤，但细心对比就会发现，其中绝大多数仅实现了FTP协议中两个命令的控制:PUT和GET。好的防火墙应该可以对FTP其他所有的命令进行控制，包括CD、LS等，要提供基于命令级控制，实现对目录和文件的访问控制，全部过滤均支持通配符。　　三、管理和认证　　这是防火墙非常重要的功能。目前，防火墙管理分为基于WEB界面的WUI管理方式、基于图形用户界面的GUI管理方式和基于命令行CLI的管理方式。　　各种管理方式中，基于命令行的CLI方式最不适合防火墙。　　WUI和GUI的管理方式各有优缺点。　　WUI的管理方式简单，不用专门的管理软件，只要配备浏览器就行;同时，WUI的管理界面非常适合远程管理，只要防火墙配置一个可达的IP，可实现在美国管理位于中国分公司的防火墙。　　WUI形式的防火墙也有缺点:首先，WEB界面非常不适合进行复杂、动态的页面显示，一般的WUI界面很难显示丰富的统计图表，所以对于审计、统计功能要求比较苛刻的用户，尽量不要选择WUI方式;另外，它将导致防火墙管理安全威胁增大，如果用户在家里通过浏览器管理位于公司的防火墙，信任关系仅仅依赖于一个简单的用户名和口令，黑客很容易猜测到口令，这增加了安全威胁。　　GUI是目前绝大多数防火墙普遍采用的方式。这种方式的特点是专业，可以提供丰富的管理功能，便于管理员对防火墙进行配置。但缺点是需要专门的管理端软件，同时在远程和集中管理方面没有WUI管理方式灵活。　　四、审计和日志以及存储方式　　目前绝大多数防火墙都提供了审计和日志功能，区别是审计的粒度粗细不同、日志的存储方式和存储量不同。　　很多防火墙的审计和日志功能很弱，这一点在那些以DOM、DOC等电子盘(并且不提供网络数据库支持)为存储介质的防火墙中体现得尤为明显，有些甚至没有区分事件日志和访问日志。如果需要丰富的审计和日志功能，就需要考察防火墙的存储方式，如果是DOM、DOC等Flash电子盘的存储方式，将可能限制审计和日志的功能效果。　　目前绝大多数防火墙审计日志采用硬盘存储的方式，这种方式的优点是可以存储大量的日志(几个G到几十个G)，但是在某些极端的情况下，如异常掉电，硬盘受到的损坏往往要比电子盘的损坏严重。　　好的防火墙应该提供多种存储方式，便于用户灵活选择和使用。　　五、如何区分包过滤和状态监测　　一些小公司为了推销自己的防火墙产品，往往宣称采用的是状态监测技术; 从表面上看，我们往往容易被迷惑。这里给出区分这两种技术的小技巧。　　1. 是否提供实时连接状态查看?　　状态监测防火墙可以提供查看当前连接状态的功能和界面，并且可以实时断掉当前连接，这个连接应该具有丰富的信息，包括连接双方的IP、端口、连接状态、连接时间等等，而简单包过滤却不具备这项功能。　　2. 是否具备动态规则库?　　某些应用协议不仅仅使用一个连接和一个端口，往往通过一系列相关联的连接完成一个应用层的操作。比如FTP协议，用户命令是通过对21端口的连接传输，而数据则通过另一个临时建立的连接(缺省的源端口是20，在PASSIVE模式下则是临时分配的端口)传输。对于这样的应用，包过滤防火墙很难简单设定一条安全规则，往往不得不开放所有源端口为20的访问。　　状态监测防火墙则可以支持动态规则，通过跟踪应用层会话的过程自动允许合法的连接进入，禁止其他不符合会话状态的连接请求。对于FTP来说，只需防火墙中设定一条对21端口的访问规则，就可以保证FTP传输的正常，包括PASSIVE方式的数据传输。这一功能不仅使规则更加简单，同时消除了必须开放所有20端口的危险。&&&&&今日推荐
&&&&&日版宠物情人2017的插曲，很带节奏感，日语的，女生唱的。
最后听见是在第8集的时候女主手割伤了，然后男主用嘴帮她吸了一下，插曲就出来了。
歌手：Def...老钟家的两个儿子很特别，就是跟其他的人不太一样，魔一般的执着。兄弟俩都到了要结婚的年龄了，不管自家老爹怎么磨破嘴皮子，兄弟俩说不娶就不娶，老父母为兄弟两操碎了心...把牛仔裤磨出有线的破洞
1、具体工具就是磨脚石，下面垫一个硬物，然后用磨脚石一直磨一直磨，到把那块磨薄了，用手撕开就好了。出来的洞啊很自然的。需要猫须的话调几...先来看下敬业福和爱国福
今年春节，支付宝再次推出了“五福红包”活动，表示要“把欠大家的敬业福都还给大家”。
今天该活动正式启动，和去年一样，需要收集“五福”...有时候我们打开冰箱就会闻到一股异味，冰箱里的这种异味是因为一些物质发出的气味的混合体，闻起来让人恶心。 产生这些异味的主要原因有以下几点。
1、很多人有这种习...简介
《极品家丁》讲述了现代白领林晚荣无意回到古代金陵，并追随萧二小姐化名“林三”进入萧府，不料却阴差阳错上演了一出低级家丁拼搏上位的“林三升职记”。...你就是我最爱的宝宝 - 李溪芮
(电视剧《极品家丁》片尾曲)
作词：常馨内
作曲：常馨内
你的眉 又鬼马的挑
你的嘴 又坏坏的笑
上一秒吵闹 下...乌梅，又称春梅，中医认为，乌梅味酸，性温，无毒，具有安心、除热、下气、祛痰、止渴调中、杀虫的功效，治肢体痛、肺痨病。乌梅泡水喝能治伤寒烦热、止吐泻，与干姜一起制...什么是脂肪粒
在我们的脸上总会长一个个像脂肪的小颗粒，弄也弄不掉，而且颜色还是白白的。它既不是粉刺也不是其他的任何痘痘，它就是脂肪粒。
脂肪粒虽然也是由油脂...来源：中国青年报
新的攻击方法不断涌现，黑客几乎永远占据网络攻击的上风，我们不可能通过技术手段杜绝网络攻击。国家安全保障的主要方向是打击犯罪，而不是处置和惩罚...夫妻网络直播“造人”爆红
　　1月9日，温岭城北派出所接到南京警方的协查通告，他们近期打掉了一个涉黄直播APP平台。而根据掌握的线索，其中有一对涉案的夫妻主播...如何防止墙纸老化？
（1）选择透气性好的墙纸
市场上墙纸的材质分无纺布的、木纤维的、PVC的、玻璃纤维基材的、布面的等，相对而言，PVC材质的墙纸最不透气...观点一：破日本销售量的“鲜肌之谜” 非日本生产
近一段时间，淘宝上架了一款名为“鲜肌之谜的” 鲑鱼卵巢美容液，号称是最近日本的一款推出的全新护肤品，产品本身所...系腰裙(北宋词人 张先)
惜霜蟾照夜云天，朦胧影、画勾阑。人情纵似长情月，算一年年。又能得、几番圆。
欲寄西江题叶字，流不到、五亭前。东池始有荷新绿，尚小如...关于女人的经典语句1、【做一个独立的女人】
思想独立：有主见、有自己的人生观、价值观。有上进心,永远不放弃自己的理想，做一份自己喜爱的事业，拥有快乐和成就...你想体验机器人性爱吗？你想和性爱机器人结婚吗？如果你想，机器人有拒绝你的权利吗？
近日，第二届“国际人类-机器人性爱研讨会”大会在伦敦金史密斯大学落下帷幕。而...10.土耳其地下洞穴城市
变态指数：★★☆☆☆
这是土耳其卡帕多西亚的一个著名景点，传说是当年基督教徒们为了躲避战争而在此修建。里面曾住着20000人，......据英国《每日快报》报道，一位科学家兼理论家Robert Lanza博士宣称，世界上并不存在人类死亡，死亡的只是身体。他认为我们的意识借助我们体内的能量生存，而且...《我爱狐狸精》 - 刘馨棋
　　(电视剧《屏里狐》主题曲)
　　作词：金十三&李旦
　　作曲：刘嘉
　　狐狸精 狐狸仙
　　千年修...·&·&·&&&&&&　　有一些问题常令用户困惑：在防火墙产品的功能上，各个厂商的描述十分雷同，一些“后起之秀”与知名品牌极其相似。面对这种情况，该如何鉴别?描述得十分类似的产品，即使是同一个功能，在具体实现上、在可用性和易用性上，个体差异也十分明显。
　　一、网络层的访问控制
　　所有防火墙都必须具备此项功能，否则就不能称其为防火墙。当然，大多数的路由器也可以通过自身的ACL来实现此功能。
　　1.规则编辑
　　对网络层的访问控制主要表现在防火墙的规则编辑上，我们一定要考察:对网络层的访问控制是否可以通过规则表现出来?访问控制的粒度是否足够细?同样一条规则，是否提供了不同时间段的控制手段?规则配置是否提供了友善的界面?是否可以很容易地体现网管的安全意志?
　　2.IP/MAC地址绑定
　　同样是IP/MAC地址绑定功能，有一些细节必须考察，如防火墙能否实现IP地址和MAC地址的自动搜集?对违反了IP/MAC地址绑定规则的访问是否提供相应的报警机制?因为这些功能非常实用，如果防火墙不能提供IP地址和MAC地址的自动搜集，网管可能被迫采取其他的手段获得所管辖用户的IP与MAC地址，这将是一件非常乏味的工作。
　　3、NAT(网络地址转换)
　　这一原本路由器具备的功能已逐渐演变成防火墙的标准功能之一。但对此一项功能，各厂家实现的差异非常大，许多厂家实现NAT功能存在很大的问题:难于配置和使用，这将会给网管员带来巨大的麻烦。我们必须学习NAT的工作原理，提高自身的网络知识水平，通过分析比较，找到一种在NAT配置和使用上简单处理的防火墙。
　　二、应用层的访问控制
　　这一功能是各个防火墙厂商的实力比拼点，也是最出彩的地方。因为很多基于免费操作系统实现的防火墙虽然可以具备状态监测模块(因为Linux、FreeBSD等的内核模块已经支持状态监测)，但是对应用层的控制却无法实现“拿来主义”，需要实实在在的编程。
　　对应用层的控制上，在选择防火墙时可以考察以下几点。
　　1.是否提供HTTP协议的内容过滤?
　　目前企业网络环境中，最主要的两种应用是WWW访问和收发电子邮件。能否对WWW访问进行细粒度的控制反映了一个防火墙的技术实力。
　　2.是否提供SMTP协议的内容过滤?
　　对电子邮件的攻击越来越多:邮件炸弹、邮件病毒、泄漏机密信息等等，能否提供基于SMTP协议的内容过滤以及过滤的粒度粗细成了用户关注的焦点。
　　3. 是否提供FTP协议的内容过滤?
　　在考察这一功能时一定要细心加小心，很多厂家的防火墙都宣传说具备FTP的内容过滤，但细心对比就会发现，其中绝大多数仅实现了FTP协议中两个命令的控制:PUT和GET。好的防火墙应该可以对FTP其他所有的命令进行控制，包括CD、LS等，要提供基于命令级控制，实现对目录和文件的访问控制，全部过滤均支持通配符。
　　三、管理和认证
　　这是防火墙非常重要的功能。目前，防火墙管理分为基于WEB界面的WUI管理方式、基于图形用户界面的GUI管理方式和基于命令行CLI的管理方式。
　　各种管理方式中，基于命令行的CLI方式最不适合防火墙。
　　WUI和GUI的管理方式各有优缺点。
　　WUI的管理方式简单，不用专门的管理软件，只要配备浏览器就行;同时，WUI的管理界面非常适合远程管理，只要防火墙配置一个可达的IP，可实现在美国管理位于中国分公司的防火墙。
　　WUI形式的防火墙也有缺点:首先，WEB界面非常不适合进行复杂、动态的页面显示，一般的WUI界面很难显示丰富的统计图表，所以对于审计、统计功能要求比较苛刻的用户，尽量不要选择WUI方式;另外，它将导致防火墙管理安全威胁增大，如果用户在家里通过浏览器管理位于公司的防火墙，信任关系仅仅依赖于一个简单的用户名和口令，黑客很容易猜测到口令，这增加了安全威胁。
　　GUI是目前绝大多数防火墙普遍采用的方式。这种方式的特点是专业，可以提供丰富的管理功能，便于管理员对防火墙进行配置。但缺点是需要专门的管理端软件，同时在远程和集中管理方面没有WUI管理方式灵活。
　　四、审计和日志以及存储方式
　　目前绝大多数防火墙都提供了审计和日志功能，区别是审计的粒度粗细不同、日志的存储方式和存储量不同。
　　很多防火墙的审计和日志功能很弱，这一点在那些以DOM、DOC等电子盘(并且不提供网络数据库支持)为存储介质的防火墙中体现得尤为明显，有些甚至没有区分事件日志和访问日志。如果需要丰富的审计和日志功能，就需要考察防火墙的存储方式，如果是DOM、DOC等Flash电子盘的存储方式，将可能限制审计和日志的功能效果。
　　目前绝大多数防火墙审计日志采用硬盘存储的方式，这种方式的优点是可以存储大量的日志(几个G到几十个G)，但是在某些极端的情况下，如异常掉电，硬盘受到的损坏往往要比电子盘的损坏严重。
　　好的防火墙应该提供多种存储方式，便于用户灵活选择和使用。
　　五、如何区分包过滤和状态监测
　　一些小公司为了推销自己的防火墙产品，往往宣称采用的是状态监测技术; 从表面上看，我们往往容易被迷惑。这里给出区分这两种技术的小技巧。
　　1. 是否提供实时连接状态查看?
　　状态监测防火墙可以提供查看当前连接状态的功能和界面，并且可以实时断掉当前连接，这个连接应该具有丰富的信息，包括连接双方的IP、端口、连接状态、连接时间等等，而简单包过滤却不具备这项功能。
　　2. 是否具备动态规则库?
　　某些应用协议不仅仅使用一个连接和一个端口，往往通过一系列相关联的连接完成一个应用层的操作。比如FTP协议，用户命令是通过对21端口的连接传输，而数据则通过另一个临时建立的连接(缺省的源端口是20，在PASSIVE模式下则是临时分配的端口)传输。对于这样的应用，包过滤防火墙很难简单设定一条安全规则，往往不得不开放所有源端口为20的访问。
　　状态监测防火墙则可以支持动态规则，通过跟踪应用层会话的过程自动允许合法的连接进入，禁止其他不符合会话状态的连接请求。对于FTP来说，只需防火墙中设定一条对21端口的访问规则，就可以保证FTP传输的正常，包括PASSIVE方式的数据传输。这一功能不仅使规则更加简单，同时消除了必须开放所有20端口的危险。&&&&&　　免责声明：本文仅代表作者个人观点，与王朝网络无关。王朝网络登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述，其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。&&&&&&为你推荐&&&&&&转载本文&UBB代码&HTML代码复制到剪贴板...&更多内容··········&&&&&&&&&频道精选&&&王朝女性&&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&王朝分栏&&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&王朝编程&&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&王朝导购&&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&王朝其他&&|&&|&&|&&|&&|&&|&&&&2005-&&版权所有&}