2020-2021第一学期“七剑下天山”第十周讨论

1、防火墙有什么局限性？

一、防火墙不能防范不经bai过防火墙的攻击。没有经过防火墙的数据，防火墙无法检查。
二、防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内，谁都不可信，但绝大多数单位因为不方便，不要求防火墙防内。
三、防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备，就像门卫一样，要根据政策规定来执行安全，而不能自作主张。
四、防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备，但防火墙本身必须存在于一个安全的地方。
五、防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议，防火墙不能防止利用该协议中的缺陷进行的攻击。
六、防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击，防火墙不能防止。
七、防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能，即使集成了第三方的防病毒的软件，也没有一种软件可以查杀所有的病毒。
八、防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。
九、防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密，防火墙是无能为力的。
十、防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己，目前还没有厂商绝对保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。

2、IPsec VPN和SSL VPN简单理解

使用场景

IPsec VPN：连通的是两个局域网，如分支机构与总部(或华为云VPC)之间、本地IDC与云端VPC的子网；即IPsec VPN是网对网的连接。

SSL VPN：连通的是一个客户端到一个局域网络，如出差员工的便携机访问公司内网。

连接方式

IPsec VPN：要求两端有固定的网关设备，如防火墙或路由器； 管理员需要分别配置两端网关完成IPsec VPN协商。

SSL VPN：需要在主机上安装指定的Client软件，通过用户名/密码拨号连接至SSL设备。