第十二章 防火墙

第十二章防火墙1/11/20231内容

基本概念防火墙相关技术防火墙配置模式几个新的方向1/11/20232基本概念防火墙定义为什么需要防火墙对防火墙的两大需求防火墙技术的发展过程引入防火墙技术的好处争议及不足1/11/2023312.1防火墙概述12.1.1.什么是防火墙

防火墙是位于两个(或多个)网络间，实施网间访问控制的一组组件的集合，是一种广泛应用的网络安全技术(防火墙现在已成为将内部网接入外部网Internet时所必需的安全措施)，是不同网络或网络安全域之间信息的唯一出入口。防火墙是由软件和硬件组成的。它具有以下属性：

内部和外部之间的所有网络数据流必须经过防火墙只有符合安全政策的数据流才能通过防火墙防火墙自身应对渗透(peneration)免疫，即自身不受各种攻击的影响注意：防火墙可能在一台计算机上运行，也可能在计算机群上运行。防火墙用于保护可信网络免受非可信网络的威胁，同时仍有限制地允许双方通信。1/11/20234防火墙简图通常防火墙建立在内部网和Internet之间的一个路由器或计算机上，该计算机也叫堡垒主机。它就如同一堵带有安全门的墙，可以阻止外界对内部网资源的非法访问和通行合法访问，也可以防止内部对外部网的不安全访问和通行安全访问。1/11/202351/11/20236为什么需要防火墙1/11/20237为什么需要防火墙保护内部不受来自Internet的攻击为了创建安全域为了增强机构安全策略1/11/20238所有软件都是有错的通常情况下99.99%无错的程序很少会出问题同安全相关的99.99%无错的程序可以确信会被人利用那0.01%的错误0.01%安全问题等于100%的失败WhySecurityisHarderthanitLooks1/11/2023912.1.2防火墙的功能防火墙的主要作用如下：防火墙对内部网实现了集中管理，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上，可以强化网络安全策略，比分散到主机上管理更经济易行。防火墙能防止非授权用户进入内部网络。防火墙可以方便地监视网络的安全并及时报警。防火墙可以实现网络地址转换（NetworkAddressTranslationNAT），缓解资源短缺，隐藏内部网络所有的访问都经过防火墙，因此它是审计和记录网络的访问和使用的理想位置。防火墙对内部网络的划分，可以实现重点网段的分离，从而限制安全问题的扩散。1/11/202310对防火墙的两大需求保障内部网安全保证内部网同外部网的连通1/11/20231112.1.3防火墙的基本规则一切未被允许的就是禁止的（No规则）防火墙封锁所有的信息流，只允许符合开放规则的信息进出。特点：提供安全的网络环境；应用不方便一切未被禁止的就是允许的（Yes规则）防火墙只禁止符合屏蔽规则的信息进出，而转发所有其他信息流。特点:灵活；很难提供可靠的安全防护。1/11/202312IP包No规则YYNN防火墙规则表匹配规则1匹配规则2匹配规则3拒绝接受YNNN防火墙规则表匹配规则1匹配规则2匹配规则3接受拒绝YNYYIP包Yes规则1/11/202313

增加内容：个人防火墙现在网上流行很多个人防火墙软件，它是应用程序级的。个人防火墙是一种能够保护个人计算机系统安全的软件，它是可以直接在用户计算机操作系统上运行的软件服务，使用与状态检测防火墙相同的方式，来保护计算机免受攻击。通常，这些防火墙是安装在计算机网络接口的较低级别上，使它们可以监视通过网卡的所有网络通信。

1/11/202314(1)个人防火墙的优点增加了保护功能。它具有安全保护功能，可以抵挡外来攻击和内部的攻击。易于配置。它通常可以使用直接的配置选项获得基本可使用的配置。廉价。它不需要额外的硬件资源就为内部网的个人用户和公共网络中的单个系统提供安全保护。1/11/202315(2)个人防火墙的缺点接口通信受限。个人防火墙对公共网络只有一个物理接口，而真正的防火墙应当监视并控制两个或更多的网络接口之间的通信。集中管理比较困难。个人防火墙需要在每个客户端进行配置，这将增加管理开销。性能限制。个人防火墙是为了保护单个计算机系统而设计的，在充当小型网络路由器时将导致性能下降。这种保护机制通常不如专用防火墙方案有效。1/11/202316

内部防火墙防火墙主要是保护内部网络资源免受外部用户的非法访问和侵袭。有时为了某些原因，我们还需要对内部网的部分站点再加以保护，以免受内部网其它站点的侵袭。因此，需要在同一结构的两个部分之间，或者在同一内部网的两个不同组织结构之间再建立一层防火墙，这就是内部防火墙。1/11/202317企业内部网络是一个多层次、多节点、多业务的网络，各节点间的信任程度较低，但各节点和服务器群之间又要频繁地交换数据。通过在服务器群的入口处设置内部防火墙，可有效地控制内部网络的访问。企业内部网中设置内部防火墙后，一方面可以有效地防范来自外部网络的攻击行为，另一方面可以为内部网络制定完善的安全访问策略，从而使得整个企业网络具有较高的安全级别。1/11/202318内部防火墙的用户包括内部网本单位的雇员（如内部网单位本部的用户、本单位外部的用户、本单位的远程用户或在家中办公的用户）和单位的业务合作伙伴。后者的信任级别比前者要低。许多用于建立外部防火墙的工具与技术也可用于建立内部防火墙。1/11/202319内部防火墙具体可以实现以下功能：精确地制定每个用户的访问权限，保证内部网络用户只能访问必要的资源；记录网段间的访问信息，及时发现误操作和来自内部网络其他网段的攻击行为；通过安全策略的集中管理，每个网段上的主机不必再单独设立安全策略，降低人为因素导致的网络安全问题。

1/11/202320内容基本概念防火墙相关技术防火墙配置模式几个新的方向1/11/20232112.2防火墙技术静态包过滤动态包过滤应用程序网关(代理服务器)电路级网关网络地址翻译虚拟专用网数据包过滤1/11/202322防火墙采用了两种基本的技术：数据包过滤和代理服务12.2.1数据包过滤技术数据包过滤是在网络的适当位置，根据系统设置的过滤规则，对数据包实施过滤，只允许满足过滤规则的数据包通过并被转发到目的地，而其他不满足规则的数据包被丢弃。大多数的商用路由器都具备一定的数据包过滤功能，路由器除了完成路由选择和转发的功能之外，还可进行数据包过滤。PC机上同样可以安装包过滤软件。包过滤规则以IP包信息为基础，对IP源地址、IP目的地址、封装协议（TCP/UDP/ICMP）、端口号等进行过滤。包过滤在OSI协议的网络层进行。1/11/202323专用网安全边界包过滤处理（2）包过滤的优点：逻辑简单、价格便宜、易于安装和使用，网络性能和透明性好，他通常安装在路由器上。不用改动应用程序、一个过滤路由器能协助保护整个网络。数据包过滤对用户透明。过滤路由器速度快、效率高。

（3）包过滤的缺点：不能彻底防止地址欺骗；一些应用协议不适合于数据包过滤；正常的数据包过滤路由器无法执行某些安全策略；安全性较差；数据包工具存在很多局限性。1/11/202324

在使用TCP/IP协议的IP数据包中，每个数据包的报头信息大致包括以下内容，根据流经该设备的数据包地址信息，决定是否允许该数据包通过

判断依据有(只考虑IP包)：数据包协议类型：TCP、UDP、ICMP（网际控制报文协议）、IGMP等源、目的IP地址源、目的端口：FTP（20)、HTTP(80)、DNS（53）等IP选项：源路由、记录路由等TCP选项：SYN、ACK、FIN、RST等其它协议选项：ICMPECHO、ICMPECHOREPLY等数据包流向：in或out数据包流经网络接口：eth0、eth11/11/202325普通路由器和包过滤路由器比较

数据包过滤器在接收数据包时，一般不判断数据包的上下文，只根据目前的数据包的内容作决定（这避免不了重放攻击）。Internet上服务一般都与特定的端口号有关，如FTP一般工作在21端口，TELENT工作在23端口，WEB服务在80端口，因此可通过包过滤器来禁止某项服务，例如：可通过包过滤器禁止所有通过80端口的数据包来禁止WEB服务。数据包过滤还可根据设定的包过滤规则决定是否转发数据包；普通路由器只检查每个数据包的目的地址，为数据包选择最佳路由，将数据包发往目的地址。1/11/20232612.2.2代理服务代理服务是在防火墙主机上运行的专门的应用程序或服务器程序，这些程序根据安全策略处理用户对网络服务的请求，代理服务位于内部网和外部网之间，处理其间的通信以替代相互直接的通信。代理服务工作在OSI协议的应用层。OutOutOutInInIn外部连接内部连接外部主机内部主机代理服务型防火墙链路级网关1/11/202327代理服务的分类:服务器端代理和客户端代理服务器端代理可以是一个运行代理服务程序的网络主机，具有网络地址转换的功能；客户端代理是经过配置的普通用户程序。代理服务器服务器客户请求请求应答应答客户端代理防火墙1/11/20232812.3过滤型防火墙数据包过滤防火墙包括：静态包过滤和动态包过滤数据包过滤防火墙具有地址转换功能(NAT)，从而使从防火墙流出的数据包源地址不同于原始发出数据包的主机地址。通过NAT可以隐藏内部网络拓扑和地址表。包过滤防火墙有一组接受（YES）和禁止(NO)规则，这些规则明确定义了哪个包将允许通过或被禁止通过网络接口。输入包和输出包的过滤分别对应不同的规则列表输入包的过滤包括：远程源地址过滤，本地目的地址过滤，远程端口过滤，本地目的端口过滤。输出包的过滤包括：本地源地址过滤，远程目的地址过滤，本地端口过滤，远程目的端口过滤。1/11/20232912.3.1静态包过滤防火墙静态包过滤防火墙工作示意图静态包过滤防火墙工作在TCP/IP协议IP的层1/11/202330包过滤示例堡垒主机内部网外部网络在上图所示配置中，内部网地址为：/24，堡垒主机内网卡eth1地址为：，外网卡eth0地址为：3DNS地址为：要求允许内部网所有主机能访问外网WWW、FTP服务，外部网不能访问内部主机1/11/202331包过滤示例(续)Setinternal=/24Denyipfrom$internaltoanyinviaeth0Denyipfromnot$internaltoanyinviaeth1Allowudpfrom$internaltoanydnsAllowudpfromanydnsto$internalAllowtcpfromanytoanyestablishedAllowtcpfrom$internaltoanywwwinviaeth1Allowtcpfrom$internaltoanyftpinviaeth1Allowtcpfromanyftp-datato$internalinviaeth0Denyipfromanytoany1/11/202332包过滤特点•包过滤防火墙的优点:逻辑简单，价格便宜，对网络性能的影响较小，有较强的透明性。并且它的工作与应用层无关，无须改动任何客户机和主机上的应用程序，易于安装和使用。•包过滤防火墙的弱点是：配置基于包过滤方式的防火墙，需要对IP、TCP、UDP、ICMP等各种协议有深入的了解，否则容易出现因配置不当带来的问题；据以过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不能得到充分满足；由于数据包的地址及端口号都在数据包的头部，不能彻底防止地址欺骗；允许外部客户和内部主机的直接连接；不提供用户的鉴别机制。1/11/202333动态包过滤防火墙动态包过滤：这种防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态的在过滤规则中增加或更新条目。1/11/202334动态包过滤特点这种防火墙采用了一个在网关上执行网络安全策略的软件引擎，称之为监测模块。对网络通信的各层实施监测分析，提取相关的通信和状态信息，并在动态连接表中进行状态及上下文信息的存储和更新，这些表被持续更新，为下一个通信检查提供累积的数据。优点：能够提供对基于无连接的协议（UDP）的应用DNS、WAIS、etc）及基于端口动态分配的协议（RPC）的应用（如NFS、NIS）的安全支持，静态的包过滤和代理网关都不支持此类应用。总之，这类防火墙减少了端口的开放时间，提供了对几乎所有服务的支持，缺点：它也允许外部客户和内部主机的直接连接；不提供用户的鉴别机制。1/11/20233512.3.2状态监测防火墙

静态包过滤防火墙最明显的缺陷是，为了实行期望的通信，它必须保持一些端口永久开放，这为潜在的攻击提供了机会，为了克服这一弱点，发展出了动态过滤技术，它根据数据包的头信息打开或关闭端口。当一组数据包通过打开的端口到达目的地，防火墙就关闭这些端口。状态监测技术就是在动态包过滤技术的基础上发展而来的，是对动态包过滤技术的增强。1/11/202336状态监测防火墙工作示意图1/11/20233712.4.1应用级网关防火墙应用级网关防火墙通常也称为应用代理服务器，一般说的代理级防火墙就是这一种。网关理解应用协议，可以实施更细粒度的访问控制对每一类应用，都需要一个专门的代理（如FTP代理Web代理Email代理等）灵活性不够客

户网

关服务器发送请求转发请求请求响应转发响应12.4代理型防火墙代理型防火墙又可分为应用级网关和电路级网关两大类1/11/202338

应用层网关型防火墙：应用级网关(ApplicationLevelGateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。

数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。

1/11/202339应用级网关（代理服务器）1/11/202340应用层网关防火墙1/11/202341应用级网关防火墙工作示意图FTP代理Web代理Email代理1/11/202342应用级网关防火墙的优点：•应用网关代理的优点是易于配置，界面友好；•不允许内外网主机的直接连接；•可以提供比包过滤更详细的日志记录，例如在一个HTTP连接中，包过滤只能记录单个的数据包，无法记录文件名、URL等信息；•可以隐藏内部IP地址；•可以给单个用户授权；•可以为用户提供透明的加密机制；•可以与认证、授权等安全手段方便的集成。代理技术的缺点：代理速度比包过滤慢；代理对用户不透明，给用户的使用带不便，而且这种代理技术需要针对每种协议设置一个不同的代理服务器。1/11/20234312.4.2电路级网关防火墙拓扑结构同应用程序网关相同接收客户端连接请求，代理客户端完成网络连接在客户和服务器间中转数据通用性强1/11/202344电路级网关实现方式简单重定向根据客户的地址及所请求端口，将该连接重定向到指定的服务器地址及端口上对客户端应用完全透明在转发前同客户端交换连接信息需对客户端应用作适当修改1/11/202345虚拟专用网(VPN)广域网络端-端加密数据流端-路由加密隧道路由-路由加密隧道(VPN)1/11/202346各级网络安全技术物理层链路层网络层传输层会话层表示层应用层OSI协议层加密/安全技术安全协议信道加密PPTP/L2TPIPSecSSL/TLS信源加密SOCKS应用相关应用程序网关/保密网关静态包过滤动态包过滤1/11/202347报告内容基本概念防火墙相关技术防火墙配置模式几个新的方向1/11/20234812.5防火墙体系结构(连接模式)屏蔽路由器双宿/多宿主机模式(dual-homed/multi-homed)屏蔽主机模式屏蔽子网模式常见的防火墙在网络中的连接模式有:1/11/2023491．屏蔽路由器

屏蔽路由器结构是最简单的防火墙结构，这种防火墙可以由厂家专门生产的过滤路由器来实现，也可以由安装了具有过滤功能软件的普通路由器实现，如下图所示。过滤路由器防火墙作为内外连接的惟一通道，要求所有的报文都必须在此通过检查。路由器上可以安装基于IP层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。单纯由过滤路由器构成的防火墙的危险包括路由器本身及路由器允许访问的主机。过滤路由器的缺点是一旦被攻击并隐藏后很难被发现，而且不能识别不同的用户。

1/11/202350而且不能识别不同的用户。屏蔽路由器客户机客户机服务器内部网络客户机Internet路由器防火墙1/11/202351堡垒主机:BastionHost–堡垒主机是一种配置了安全防范措施的网络上的计算机，堡垒主机为网络之间的通信提供了一个阻塞点，也就是说如果没有堡垒主机，网络之间将不能相互访问。双宿主机:Dual-homedHost–有两个网络接口的计算机系统,一个接口接内部网,一个接口接外部网.1/11/2023522.双宿/多宿主机模式堡垒主机内部网外部网络最少服务最小特权注意：堡垒主机可以采用包过滤技术，也可以采用代理服务技术。双宿主机模式双宿/多宿主机防火墙又称双宿/多宿网关防火墙，它是一种拥有两个或多个连接到不同网络的网络接口的防火墙，通常是一台装有两块或多块网卡的堡垒主机，两块或多块网卡各自与受保护网络和外部网络相连。1/11/202353双重宿主主机结构防火墙客户机客户机服务器内部网络客户机Internet双穴主机防火墙1/11/202354双宿主堡垒主机模型双宿主堡垒主机有两种网络接口，但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。1/11/202355多宿主机模式堡垒主机内部网1外部网络内部网21/11/202356双宿主主机的特性：（1）它是外部网络进入内部网络的唯一通道，因此其安全是重要的，用户口令控制是关键。（2）它是外部用户访问内部网络的系统的中间转接点，所以它必须支持多用户的访问，因此其性能相当重要。双宿主机的缺点：（1）用户帐号的存在会给入侵者提供相对容易的入侵通道。（2）账号多管理起来困难（3）用户的行为是不可预知的，给入侵检测带来很多麻烦。（4）用户每次都需要在代理主机上注册，使用不便。1/11/2023573.屏蔽主机模式包过滤路由器内部网外部网络堡垒主机设立过滤规则堡垒主机安装在内部网络上屏蔽主机防火墙实现了网络层和应用层的安全过滤路设置过滤规则，路由器配置是否正确是防火墙安全与否的关键，如果路由表遭到破坏，是内部网络完全绕过。屏蔽主机防火墙屏蔽主机模式比双宿主主机结构能提供更好的安全保护，同时也更具有操作性。1/11/202358这种结构中，屏蔽路由器与外部网相连，再通过堡垒主机与内部网连接。来自外部网络的数据包先经过屏蔽路由器过滤，不符合过滤规则的数据包被过滤掉；符合规则的包则被传送到堡垒主机上。其代理服务软件将允许通过的信息传输到受保护的内部网上。堡垒主机是互联网上的主机能连接到内部网络上的系统的桥梁

数据包过滤也许堡垒主机开放可允许的连接到外部世界1/11/202359屏蔽主机模式：任何外部的系统对内部网络的操作都必须经过堡垒主机，因此堡垒主机的安全是至关重要的。过滤路由器可按如下之一进行配置:

允许其他内部主机为某些类型的服务请求与外部网建立直接连接。不允许所有来自内部主机的直接连接。用户可以混合使用以上两种配置。屏蔽主机模式的特点：提供更高的安全性和可用性；一旦堡垒主机遭到破坏，整个网络完全暴露。1/11/2023604.屏蔽子网模式屏蔽子网模式就是在主机过滤结构中再增加一层参数网络（即增加一台路由器）的安全机制，使得内部网与外部网之间有二层隔断。用参数网络来隔离堡垒主机与内部网，就能减轻入侵者冲开堡垒主机后而给内部网的冲击力。1/11/202361屏蔽子网防火墙12.5.3屏蔽子网模式内部路由器内部网外部网络堡垒主机外部路由器DMZ区周边网解决了单点失效问题1/11/202362内部路由器对外服务器堡垒主机内部网络Internet防火墙外部路由器客户机客户机服务器客户机客户机参数网络DMZ子网过滤结构防火墙1/11/202363(1)参数网络参数网络也叫周边网络，非军事区地带(DMZdemilitarizedzone)等，它是在内/外部网之间另加的一个安全保护层，相当于一个应用网关。如果入侵者成功地闯过外层保护网到达防火墙，参数网络就能在入侵者与内部网之间再提供一层保护。如果入侵者仅仅侵入到参数网络的堡垒主机，他只能偷看到参数网络的信息流而看不到内部网的信息，参数网络的信息流仅往来于外部网到堡垒主机。没有内部网主机间的信息流(重要和敏感的信息)在参数网络中流动，所以堡垒主机受到损害也不会破坏内部网的信息流. 1/11/202364(2)堡垒主机在子网过滤结构中，堡垒主机与参数网络相连，而该主机是外部网服务于内部网的主节点。在内、外部路由器上建立包过滤，以便内部网的用户可直接操作外部服务器；在主机上建立代理服务，在内部网用户与外部服务器之间建立间接的连接。该堡垒主机对内部网的主要服务有：接收外来电子邮件并分发给相应站点；接收外来FTP并连到内部网的匿名FTP服务器；接收外来的有关内部网站点的域名服务。1/11/202365(3)内部路由器内部路由器的主要功能是保护内部网免受来自外部网与参数网络的侵扰。内部路由器可以设定，使参数网络上的堡垒主机与内部网之间传递的各种服务和内部网与外部网之间传递的各种服务不完全相同。内部路由器完成防火墙的大部分包过滤工作，它允许某些站点的包过滤系统认为符合安全规则的服务在内/外部网之间互传。根据各站点的需要和安全规则，可允许的服务是如下的外向服务：Telnet、FTP、WAIS、Archie、Gopher或者其它服务。1/11/202366(4)外部路由器外部路由器既可保护参数网络又保护内部网。实际上，在外部路由器上仅做一小部分包过滤，它几乎让所有参数网络的外向请求通过。它与内部路由器的包过滤规则是基本上相同的。外部路由器的包过滤主要是对参数网络上的主机提供保护。一般情况下，因为参数网络上主机的安全主要通过主机安全机制加以保障，所以由外部路由器提供的很多保护并非必要。外部路由器真正有效的任务是阻隔来自外部网上伪造源地址进来的任何数据包。这些数据包自称来自内部网，其实它是来自外部网。

1/11/20236712.6防火墙产品的发展若以产品为对象，防火墙技术的发展可以分为四个阶段：第一阶段：基于路由器的防火墙（路由器代替防火墙）第一代防火墙产品的特点：利用路由本身对分组的解析，以访问控制表的方式实现对分组的过滤。只有分组过滤功能，且防火墙与路由器是一体的，对安全要求低的网络采用路由器附带防火墙的功能的方法，对安全要求较高的网络可单独利用一台路由器作防火墙。第一代防火墙的不足：路由协议十分灵活，但本身存在安全漏洞，使得外部网络探寻内部网络十分容易。路由器防火墙的最大安全隐患是攻击者可以“假冒”地址欺骗防火墙（信息在网络上是明文传送的）路由器防火墙本质的缺陷：路由器是动态的，而防火墙对访问行为实施静态的、固定的控制，出现了矛盾，防火墙的规则降低了路由器的性能。1/11/202368第二阶段：用户化的防火墙工具第二代防火墙的特征：将过滤功能从路由器中独立出来，并加上审计和告警功能。针对用户需求，提供模块化软件包。与第一代相比，安全性提高了，价格降低了。第二代防火墙的不足：配置和维护过程复杂、费时对用户的技术要求高全软件实现，安全性和处理速度有局限1/11/202369第三阶段：建立在通用操作系统上的防火墙第三代防火墙（广泛使用的就是这种产品）的特点：安全性和速度大为提高批量上市的防火墙专用产品第三代防火墙存在的问题：作为基础的操作系统及其内核往往不为防火墙管理者所知，由于源码的保密，其安全性无从保证。第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统厂商的攻击。上述问题在基于WindowsNT开发的防火墙产品中表现十分突出1/11/202370第四阶段：具有安全操作系统的防火墙到1997年，具有安全操作系统的防火墙产品面市，使防火墙产品步入了第四阶段。获得安全操作系统的方法：通过许可证方式获得操作系统的源码；通过固化操作系统内核提高可靠性。1/11/20237112.7防火墙的局限性1．为了提高安全性，限制或关闭了一些有用但存在安全缺陷的网络服务，给用户带来使用的不便。2．目前防火墙对于来自网络内部的攻击防范无能为力。3．防火墙不能防范不经过防火墙的攻击，如内部网用户通过SLIP或PPP直接进入Internet。4．防火墙对用户不完全透明，可能带来传输延迟、瓶颈及单点失效。5.防火墙也不能完全防止受病毒感染的文件或软件的传输，由于病毒的种类繁多，如果要在防火墙完成对所有病毒代码的检查，防火墙的效率就会降到不能忍受的程度。6.防火墙不能有效地防范数据驱动式攻击。7.作为一种被动的防护手段，防火墙不能防范因特网上不断出现的新的威胁和攻击。1/11/202372实施中的其他问题最少服务、最小特权原则使用多堡垒主机合并内部路由器与外部路由器合并堡垒主机与外部路由器合并堡垒主机与内部路由器使用多台内部路由