7、防火墙的局限性与策略选择

防火墙的局限性与策略选择

防火墙无法防范的安全威胁

保安无法预防所有的安全问题，防火墙同样不能阻止所有的安全问题。保护建筑物和保护计算机网络在某些方面非常相似，两者都包含需要在不受安全措施干扰的情况下完成工作的人员，并且大多数人都能认识到安全人员的必要性并遵守安全规则。同样，网络用户也应该明白，安装调制解调器、引入感染病毒的软盘或打开并执行来源不明的电子邮件附件可能会危及安全措施。

防火墙无法防范的安全威胁主要有以下几种：
1. 内部攻击 ：内部网络的用户已经通过了防火墙，防火墙无法阻止内部网络的窥探或入侵尝试。为了防范这类攻击，应该采取其他安全措施，如在工作站和服务器上配置受限权限，并启用网络访问审计（也可以在公司服务器和内部用户之间部署防火墙）。
2. 社会工程学攻击 ：黑客通过打电话给员工，伪装成前台同事、安保人员或进行例行检查的公司人员来获取信息，如服务器名称、IP地址或密码等。员工应该警惕这些策略，绝不泄露某些敏感信息。
3. 病毒和特洛伊木马程序 ：防火墙会尝试扫描所有网络流量中的病毒，但这些恶意程序不断变化。区分可接受的电子邮件附件和恶意内容仍然是计算机用户面临的难题。应该采取良好的预防措施来防止病毒传播，并尽量减少病毒造成的损害。特洛伊木马程序可能更难被发现，因为它们不像病毒那样试图传播到其他文件或计算机。一个由毫无戒心的用户运行一次的小型特洛伊木马程序就可能为其计算机打开后门。例如，一个特洛伊木马程序每周会发送一次在密码提示时收集的所有按键信息。
4. 防火墙管理员培训不足 ：防火墙只有在管理