包過濾型防火牆不能防禦的攻擊

① 防火牆不能防止以下那些攻擊行為

防火牆不能防止內部網路用戶的攻擊、傳送已感染病毒的軟體和文件、數據驅動型的攻擊回。防火牆主要答是藉助硬體和軟體的作用於內部和外部網路的環境間產生一種保護的屏障，從而實現對計算機不安全網路因素的阻斷。只有在防火牆同意情況下，用戶才能夠進入計算機內。

在外部的用戶要進入到計算機內時，防火牆就會迅速的發出相應的警報，並提醒用戶的行為，並進行自我的判斷來決定是否允許外部的用戶進入到內部，只要是在網路環境內的用戶，這種防火牆都能夠進行有效的查詢，同時把查到信息朝用戶進行顯示。

(1)包過濾型防火牆不能防禦的攻擊擴展閱讀：

內部網路和外部網路之間的所有網路數據流都必須經過防火牆。這是防火牆所處網路位置特性，同時也是一個前提。因為只有當防火牆是內、外部網路之間通信的通道，才可以全面、有效地保護企業網部網路不受侵害。

根據美國國家安全局制定的《信息保障技術框架》，防火牆適用於用戶網路系統的邊界，屬於用戶網路邊界的安全保護設備。所謂網路邊界即是採用不同安全策略的兩個網路連接處，比如用戶網路和互聯網之間連接、和其它業務往來單位的網路連接、用戶內部網路不同部門之間的連接等。

② 防火牆不能防止內部攻擊這句話是不是對的

不是,是防護外部攻擊,內部和外部網路都包括在互連網里,有些內部攻擊,防火牆不能防範

③ 防火牆到底能不能防止數據驅動式攻擊

不能，防火牆不來能防止數據驅動源式攻擊，因為防火牆不能防範由於內部用戶不注意所造成的威脅，很難防治受到病毒感染的軟體或文件在網路上傳輸。

防火牆不能防範不經由防火牆的攻擊，防火牆不能防止感染了病毒的軟體或文件的傳輸；防火牆不能防止數據驅動式攻擊。

(3)包過濾型防火牆不能防禦的攻擊擴展閱讀

防火牆作為內部網與外部網之間的一種訪問控制設備， 常常安裝在內部網和外部網交界點上。防火牆具有很好的網路安全保護作用。入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。

高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。網路防火牆的主要作用如下：

（1）Internet防火牆可以防止Internet上的危險(病毒、資源盜用)傳播到網路內部；

（2）能強化安全策略；

（3）能有效記錄Internet上的活動；

（4）可限制暴露用戶點；

（5）它是安全策略的檢查點。

④ 防火牆能防住什麼，不能防住什麼

通常防火牆系統具有以下功能：

● 訪問控制，可以執行基於地址（源和目標）、用戶和時間的訪問控制策略，從而可以杜絕非授權的訪問，同時保護內部用戶的合法訪問不受影響。

● 審計，對通過它的網路訪問進行記錄，建立完備的日誌、審計和追蹤網路訪問，並可以根據需要產生報表。

● 抗攻擊，防火牆系統直接暴露於非信任網路下，對外而言受到防火牆保護的內部網路如同一個點，所有的攻擊都是直接針對它的，該點稱為堡壘機，因此要求堡壘機具有高度的安全性和抵禦各種攻擊能力。

● 其他附屬功能，如與審計相關的報警和入侵檢測，與訪問控制相關的身份驗證、加密和認證，甚至vpn等。

■ 四種分類

本質上來講，防火牆被認為是兩個網路間的隔斷，只允許選定的某種形式的通信通過。防火牆另外一個重要特徵是它自身抵抗攻擊的能力，防火牆自身應當不易被攻入，因為一旦防火牆被攻入就給攻擊者進入內部網提供了一個立足點。

最簡單和最流行的防火牆形式是屏蔽路由器，多數商業路由器具有內置的限制目的地間通信的能力。屏蔽路由器只在網路層工作，它的允許/禁止功能取決於tcp/ip數據包的頭信息。其速度快、適應性強、價格便宜，但缺乏對其通信提供詳細審計的能力。屏蔽路由器往往比較脆弱，因為它還要依賴其背後主機上軟體的正確配置，因此許多專家不會以它作為中心防範措施。

另一種形式的防火牆是應用網關防火牆（也稱為基於代理的防火牆），通常被配置為「雙宿主網關」，具有兩個網路介面卡，同時接入內部和外部網。由於網關可以同時與兩個網路通信，它是安裝傳遞數據軟體的理想位置，這種軟體稱為「代理」，通常是為其所提供的服務定製的。代理能夠對通過它的數據進行詳細的追蹤。許多專家認為它更加安全，因為代理軟體可以根據防火牆後面主機的脆弱性來定製，以專門防範已知的攻擊。代理防火牆的最大缺點在於它往往是非透明的，而且不支持那些尚未開發代理的協議，因為功能完善的代理需要很好地支持應用協議，不存在真正意義上的通用代理。

第三種類型的防火牆基於「動態包過濾」。動態包過濾防火牆就像代理防火牆和包過濾路由器的交叉，對終端用戶來講，它看起來只工作在網路層，但事實上該防火牆同代理防火牆一樣在應用層檢查流經的通信。當用戶通過防火牆連到外面，在會話持續期間，它記錄該行為並允許回傳給用戶數據。動態包過濾防火牆是一項還在發展的很有吸引力的技術，看來會很有前途。

混合型防火牆是以上提到的各種類型防火牆的結合。

⑤ 包過濾防火牆的技術缺點

→一些包過濾網關不支持有效的用戶認證。
→規則表很快會變得很大而且復雜，規則很難測試。隨著表的增大和復雜性的增加，規則結構出現漏洞的可能 性也會增加。
→這種防火牆最大的缺陷是它依賴一個單一的部件來保護系統。如果這個部件出現了問題，會使得網路大門敞開，而用戶甚至可能還不知道。
→在一般情況下，如果外部用戶被允許訪問內部主機，則它就可以訪問內部網上的任何主機。
→包過濾防火牆只能阻止一種類型的IP欺騙，即外部主機偽裝內部主機的IP，對於外部主機偽裝外部主機的IP欺騙卻不可能阻止，而且它不能防止DNS欺騙。
雖然，包過濾防火牆有如上所述的缺點，但是在管理良好的小規模網路上，它能夠正常的發揮其作用。一般情況下，人們不單獨使用包過濾網關，而是將它和其他設備（如堡壘主機等）聯合使用。
包過濾的工作是通過查看數據包的源地址、目的地址或埠來實現的，一般來說，它不保持前後連接信息，過濾決定是根據 當前數據包的內容來做的。管理員可以做一個可接受機和服務的列表，以及一個不可接受機和服務的列表。在主機和網路一級，利用數據包過濾很容易實現允許或禁止訪問。
由此不難看出這個層次的防火牆的優點和弱點，由於防火牆只是工作在OSI的第三層（網路層）和第四層（傳輸層），因此包過濾的防火牆的一個非常明顯的優勢就是速度，這是因為防火牆只是去檢查數據報的報頭，而對數據報所攜帶的內容沒有任何形勢的檢查，因此速度非常快。與此同時，這種防火牆的缺點也是顯而易見的，比較關鍵的幾點如下所述。
（1）由於無法對數據報的內容進行核查，一次無法過濾或審核數據報的內容
體現這一問題的一個很簡單的例子就是：對某個埠的開放意味著相應埠對應的服務所能夠提供的全部功能都被開放，即使通過防火牆的數據報有攻擊性，也無法進行控制和阻斷。例如在一個簡單的Web伺服器，而包過濾的防火牆無法對數據報內容進行核查。因此，未打相應補丁的提供Web服務的系統，及時在防火牆的屏蔽之後，也會被攻擊著輕易獲取超級用戶的許可權。
（2）由於此種類型的防火牆工作在較低層次，防火牆本身所能接觸的信息較少，所以它無法提供描述細致事件的日誌系統。
此類防火牆生成的日誌常常只是包括數據報捕獲的時間、網路層的IP地址、傳輸層的埠等非常原始的信息。至於這個數據報內容是什麼，防火牆不會理會，而這對安全管理員而言恰恰是很關鍵的。因為及時一個非常優秀的系統管理員，一旦陷入大量的通過/屏蔽的原始數據包信息中，往往也是難以理清頭緒，這在發生安全事件時給管理員的安全審計帶來很大的困難。
（3）所有可能用到的埠（尤其是大於1024的埠）都必須開放，對外界暴露，從而極大地增加了被攻擊的可能性
通常對於網路上所有服務所需要的數據包進出防火牆的二埠都要仔細考慮，否則會產生意想不到的情況。然而我們知道，當被防火牆保護的設備與外界通信時，絕大多數應用要求發出請求的系統本身提供一個埠，用來接收外界返回的數據包，而且這個埠一般是在1024到65536之間不確定的，如果不開放這些埠，通信將無法完成，這樣就需要開放1024以上的全部埠，允許這些埠的數據包進出。而這就帶來非常大的安全隱患。例如：用戶網中有一台UNIX伺服器，對內部用戶開放了RPC服務，而這個服務是用在高埠的，那麼這台伺服器非常容易遭到基於RPC應用的攻擊。
（4）如果網路結構比較復雜，那麼對管理員而言配置訪問控制規則將非常困難
當網路發展到一定規模時，在路由器上配置訪問控制規則將會非常繁瑣，在一個規則甚至一個地址處出現錯誤都有可能導致整個訪問控制列表無法正常使用。

⑥ 防火牆為何不能防禦內部網路攻擊

黑客攻擊行為特徵分析 反攻擊技術綜合性分析報告
信息源:計算機與安全
要想更好的保護網路不受黑客的攻擊，就必須對黑客的攻擊方法、攻擊原理、攻擊過程有深入的、詳細的了解，只有這樣才能更有效、更具有針對性的進行主動防護。下面通過對黑客攻擊方法的特徵分析，來研究如何對黑客攻擊行為進行檢測與防禦。
一、反攻擊技術的核心問題
反攻擊技術（入侵檢測技術）的核心問題是如何截獲所有的網路信息。目前主要是通過兩種途徑來獲取信息，一種是通過網路偵聽的途徑（如Sniffer，Vpacket等程序）來獲取所有的網路信息（數據包信息，網路流量信息、網路狀態信息、網路管理信息等），這既是黑客進行攻擊的必然途徑，也是進行反攻擊的必要途徑；另一種是通過對操作系統和應用程序的系統日誌進行分析，來發現入侵行為和系統潛在的安全漏洞。
二、黑客攻擊的主要方式
黑客對網路的攻擊方式是多種多樣的，一般來講，攻擊總是利用「系統配置的缺陷」，「操作系統的安全漏洞」或「通信協議的安全漏洞」來進行的。到目前為止，已經發現的攻擊方式超過2000種，其中對絕大部分黑客攻擊手段已經有相應的解決方法，這些攻擊大概可以劃分為以下六類：
1.拒絕服務攻擊：一般情況下，拒絕服務攻擊是通過使被攻擊對象（通常是工作站或重要伺服器）的系統關鍵資源過載，從而使被攻擊對象停止部分或全部服務。目前已知的拒絕服務攻擊就有幾百種，它是最基本的入侵攻擊手段，也是最難對付的入侵攻擊之一，典型示例有SYN Flood攻擊、Ping Flood攻擊、Land攻擊、WinNuke攻擊等。
2.非授權訪問嘗試：是攻擊者對被保護文件進行讀、寫或執行的嘗試，也包括為獲得被保護訪問許可權所做的嘗試。
3.預探測攻擊：在連續的非授權訪問嘗試過程中，攻擊者為了獲得網路內部的信息及網路周圍的信息，通常使用這種攻擊嘗試，典型示例包括SATAN掃描、埠掃描和IP半途掃描等。
4.可疑活動：是通常定義的「標准」網路通信范疇之外的活動，也可以指網路上不希望有的活動，如IP Unknown Protocol和Duplicate IP Address事件等。
5.協議解碼：協議解碼可用於以上任何一種非期望的方法中，網路或安全管理員需要進行解碼工作，並獲得相應的結果，解碼後的協議信息可能表明期望的活動，如FTU User和Portmapper Proxy等解碼方式。
6.系統代理攻擊：這種攻擊通常是針對單個主機發起的，而並非整個網路，通過RealSecure系統代理可以對它們進行監視。
三、黑客攻擊行為的特徵分析與反攻擊技術
入侵檢測的最基本手段是採用模式匹配的方法來發現入侵攻擊行為，要有效的進反攻擊首先必須了解入侵的原理和工作機理，只有這樣才能做到知己知彼，從而有效的防止入侵攻擊行為的發生。下面我們針對幾種典型的入侵攻擊進行分析，並提出相應的對策。
1.Land攻擊
攻擊類型：Land攻擊是一種拒絕服務攻擊。
攻擊特徵：用於Land攻擊的數據包中的源地址和目標地址是相同的，因為當操作系統接收到這類數據包時，不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況，或者循環發送和接收該數據包，消耗大量的系統資源，從而有可能造成系統崩潰或死機等現象。
檢測方法：判斷網路數據包的源地址和目標地址是否相同。
反攻擊方法：適當配置防火牆設備或過濾路由器的過濾規則就可以防止這種攻擊行為（一般是丟棄該數據包），並對這種攻擊進行審計（記錄事件發生的時間，源主機和目標主機的MAC地址和IP地址）。
2.TCP SYN攻擊
攻擊類型：TCP SYN攻擊是一種拒絕服務攻擊。
攻擊特徵：它是利用TCP客戶機與伺服器之間三次握手過程的缺陷來進行的。攻擊者通過偽造源IP地址向被攻擊者發送大量的SYN數據包，當被攻擊主機接收到大量的SYN數據包時，需要使用大量的緩存來處理這些連接，並將SYN ACK數據包發送回錯誤的IP地址，並一直等待ACK數據包的回應，最終導致緩存用完，不能再處理其它合法的SYN連接，即不能對外提供正常服務。
檢測方法：檢查單位時間內收到的SYN連接否收超過系統設定的值。
反攻擊方法：當接收到大量的SYN數據包時，通知防火牆阻斷連接請求或丟棄這些數據包，並進行系統審計。
3.Ping Of Death攻擊
攻擊類型：Ping Of Death攻擊是一種拒絕服務攻擊。
攻擊特徵：該攻擊數據包大於65535個位元組。由於部分操作系統接收到長度大於65535位元組的數據包時，就會造成內存溢出、系統崩潰、重啟、內核失敗等後果，從而達到攻擊的目的。
檢測方法：判斷數據包的大小是否大於65535個位元組。
反攻擊方法：使用新的補丁程序，當收到大於65535個位元組的數據包時，丟棄該數據包，並進行系統審計。
4.WinNuke攻擊
攻擊類型：WinNuke攻擊是一種拒絕服務攻擊。
攻擊特徵：WinNuke攻擊又稱帶外傳輸攻擊，它的特徵是攻擊目標埠，被攻擊的目標埠通常是139、138、137、113、53，而且URG位設為「1」，即緊急模式。
檢測方法：判斷數據包目標埠是否為139、138、137等，並判斷URG位是否為「1」。
反攻擊方法：適當配置防火牆設備或過濾路由器就可以防止這種攻擊手段（丟棄該數據包），並對這種攻擊進行審計（記錄事件發生的時間，源主機和目標主機的MAC地址和IP地址MAC）。
5.Teardrop攻擊
攻擊類型：Teardrop攻擊是一種拒絕服務攻擊。
攻擊特徵：Teardrop是基於UDP的病態分片數據包的攻擊方法，其工作原理是向被攻擊者發送多個分片的IP包（IP分片數據包中包括該分片數據包屬於哪個數據包以及在數據包中的位置等信息），某些操作系統收到含有重疊偏移的偽造分片數據包時將會出現系統崩潰、重啟等現象。
檢測方法：對接收到的分片數據包進行分析，計算數據包的片偏移量（Offset）是否有誤。
反攻擊方法：添加系統補丁程序，丟棄收到的病態分片數據包並對這種攻擊進行審計。
6.TCP／UDP埠掃描
攻擊類型：TCP/UDP埠掃描是一種預探測攻擊。
攻擊特徵：對被攻擊主機的不同埠發送TCP或UDP連接請求，探測被攻擊對象運行的服務類型。
檢測方法：統計外界對系統埠的連接請求，特別是對21、23、25、53、80、8000、8080等以外的非常用埠的連接請求。
反攻擊方法：當收到多個TCP/UDP數據包對異常埠的連接請求時，通知防火牆阻斷連接請求，並對攻擊者的IP地址和MAC地址進行審計。
對於某些較復雜的入侵攻擊行為（如分布式攻擊、組合攻擊）不但需要採用模式匹配的方法，還需要利用狀態轉移、網路拓撲結構等方法來進行入侵檢測。
四、入侵檢測系統的幾點思考
從性能上講，入侵檢測系統面臨的一個矛盾就是系統性能與功能的折衷，即對數據進行全面復雜的檢驗構成了對系統實時性要求很大的挑戰。
從技術上講，入侵檢測系統存在一些亟待解決的問題，主要表現在以下幾個方面：
1.如何識別「大規模的組合式、分布式的入侵攻擊」目前還沒有較好的方法和成熟的解決方案。從Yahoo等著名ICP的攻擊事件中，我們了解到安全問題日漸突出，攻擊者的水平在不斷地提高，加上日趨成熟多樣的攻擊工具，以及越來越復雜的攻擊手法，使入侵檢測系統必須不斷跟蹤最新的安全技術。
2.網路入侵檢測系統通過匹配網路數據包發現攻擊行為，入侵檢測系統往往假設攻擊信息是明文傳輸的，因此對信息的改變或重新編碼就可能騙過入侵檢測系統的檢測，因此字元串匹配的方法對於加密過的數據包就顯得無能為力。
3.網路設備越來越復雜、越來越多樣化就要求入侵檢測系統能有所定製，以適應更多的環境的要求。
4.對入侵檢測系統的評價還沒有客觀的標准，標準的不統一使得入侵檢測系統之間不易互聯。入侵檢測系統是一項新興技術，隨著技術的發展和對新攻擊識別的增加，入侵檢測系統需要不斷的升級才能保證網路的安全性。
5.採用不恰當的自動反應同樣會給入侵檢測系統造成風險。入侵檢測系統通常可以與防火牆結合在一起工作，當入侵檢測系統發現攻擊行為時，過濾掉所有來自攻擊者的IP數據包，當一個攻擊者假冒大量不同的IP進行模擬攻擊時，入侵檢測系統自動配置防火牆將這些實際上並沒有進行任何攻擊的地址都過濾掉，於是造成新的拒絕服務訪問。
6.對IDS自身的攻擊。與其他系統一樣，IDS本身也存在安全漏洞，若對IDS攻擊成功，則導致報警失靈，入侵者在其後的行為將無法被記錄，因此要求系統應該採取多種安全防護手段。
7.隨著網路的帶寬的不斷增加，如何開發基於高速網路的檢測器（事件分析器）仍然存在很多技術上的困難。
入侵檢測系統作為網路安全關鍵性測防系統，具有很多值得進一步深入研究的方面，有待於我們進一步完善，為今後的網路發展提供有效的安全手段。

⑦ 包過濾網路防火牆能否阻擋網站SQL注入攻擊，為啥

基本不能&……

sql注入是利用頁面的輸入框或者地址欄，將特定的語句輸入傳入後台，並專在資料庫屬執行，通過頁面返回是否報錯等方式竊取資料庫管理員信息等的攻擊方式。

一般要將傳入後台的字元進行轉義，去掉select、update等關鍵字，並將出錯信息經過處理後反饋給用戶（不要將具體的出錯信息告訴用戶，因為用戶會根據出錯信息猜測的）

比如：
例如管理員的賬號密碼都是admin，那麼再比如後台的資料庫查詢語句是
user=request("user")
passwd=request("passwd")
sql='select admin from adminbate where user='&'''&user&'''&' and passwd='&'''&passwd&'''
那麼我使用'or 'a'='a來做用戶名密碼的話，那麼查詢就變成了
select admin from adminbate where user=''or 'a'='a' and passwd=''or 'a'='a'
這樣的話，根據運算規則，這里一共有4個查詢語句，那麼查詢結果就是 假or真and假or真，先算and 再算or，最終結果為真，這樣就可以進到後台了

⑧ 防火牆能防什麼不能防什麼

防火牆就是一個位於計算機和它所連接的網路之間的軟體。該計算機流入流回出的所有網答絡通信均要經過此防火牆。

防火牆的功能

防火牆對流經它的網路通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信，封鎖特洛伊木馬。最後，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

為什麼使用防火牆
防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。

防火牆的類型

防火牆有不同類型。一個防火牆可以是硬體自身的一部分，你可以將網際網路連接和計算機都插入其中。防火牆也可以在一個獨立的機器上運行，該機器作為它背後網路中所有計算機的代理和防火牆。最後，直接連在網際網路的機器可以使用個人防火牆。

他只是防止 並不能殺毒 呵呵

殺毒只殺 不防

兩個要配合使用

⑨ 什麼是數據驅動式攻擊防火牆為什麼不能防止數據驅動式攻擊

數據驅動攻擊是通過向某個程序發送數據，以產生非預期結果的攻擊，通常為攻擊者版給出訪問目標系統的許可權，數權據驅動攻擊分為緩沖區溢出攻擊、格式化字元串攻擊、輸入驗證攻擊、同步漏洞攻擊、信任漏洞攻擊等。

防火牆不能防止數據驅動式攻擊，因為防火牆不能防範由於內部用戶不注意所造成的威脅，很難防治受到病毒感染的軟體或文件在網路上傳輸。

防火牆不能防範不經由防火牆的攻擊；防火牆不能防止感染了病毒的軟體或文件的傳輸；防火牆不能防止數據驅動式攻擊。

(9)包過濾型防火牆不能防禦的攻擊擴展閱讀：

軟體防火牆及硬體防火牆中還有的其他功能，例如CF（內容過濾）IDS（入侵偵測）IPS（入侵防護）以及VPN等等的功能。也就是說硬體防火牆是指把防火牆程序做到晶元裡面，由硬體執行這些功能，能減少CPU的負擔，使路由更穩定。

硬體防火牆是保障內部網路安全的一道重要屏障。它的安全和穩定，直接關繫到整個內部網路的安全。因此，日常例行的檢查對於保證硬體防火牆的安全是非常重要的。系統中存在的很多隱患和故障在爆發前都會出現這樣或那樣的苗頭，例行檢查的任務就是要發現這些安全隱患，並盡可能將問題定位，方便問題的解決。

⑩ 包過濾技術如何防禦黑客攻擊以及包過濾技術的優缺點（越詳細越好）

包過濾應該是針對某一個數據包來進行的過濾，這樣的話就可以防止某些有害的版數據包進入你的網路內部權，但是這樣的話它不能夠防止一些通過正常埠進行訪問的數據包 如DDOS裡面的CC攻擊就是通過一個正常的80埠來進行訪問從而產生了大量的數據流量使伺服器承受不住而宕機。