防火墙的局限性是什么？

即使没有和Internet相连，您的组织也会受未被授权访问的影响，例如，您公司的邮件（标准的邮政服务邮件）或您的个人邮件可能是您首要的安全性问题之一。然而，可能总会有人非法访问您的邮件（例如，邮政服务会有可能把它传递到一个错误地址），对机密信息的访问是冒险行为，无论您是把信息贮存到您的网络上还是或物理媒体上（例如纸）。

雇员的不满是另一个严重威胁安全性的例子。比如，雇员可能会把一切东西——从源代码到公司的政策——都透露给竞争者。另外还有，在饭馆或其他公共场所进行的随意的商业性谈话都可能危害您公司的安全性。总之，您的商业事务已经有许多安全问题需要处理，其中一些是目前可以说出来的，也有我们还没发现的。显然，防火墙不可能解决所有的安全问题。然而，对这些问题公司已有安全策略，您可以把这种策略贮存在防火墙的信息中。

许多公司已建立了昂贵的和颇有影响的防火墙防御来自Internet的进攻，从而保护数据。糟糕的是，许多公司仍然没有固定的政策来防止由于直接与他们系统相连而导致的数据盗窃或破坏。工业观察者已经把这种仔细的结合比作“在一间木屋里安装6英尺的双焊铁门”。也就是说，防火墙不能保护网络内部的盗窃。无论它是被授权用户使用，还是被那些具有授权用户的屏幕用名或口令的人使用，防火墙都不能制止这种盗窃。

现在，防火墙对它们所能提供的安全性的量和度有许多限制。总之，防火墙对于下列的安全性需求而言不是非常有力的工具。

1．保证数据的完整性

尽管许多新一代防火墙结合软件来抵制伴随数据包接收的病毒，但这并不是防火墙的职责。在一个大流量进、出数据包的大型网络中，要求防火墙检查每一个数据包和每个伴随数据包而来的二进制文件。因为超过1000种的病毒将会把网络速度减少到无法接受的程度。相反，您应该对接收文件的放置进行约束，并用防毒软件检查离线的数据包。在您检查文件之后，您可以把“干净”的文件送到网络的目的地。病毒是一个非常严重的安全性威胁，它的数量在近些年来增加迅速。

2．灾难防护

防火墙不能保护受到灾难的数据。它不能保护您的数据因为火灾、地震和别的灾难及由于疏忽产生的破坏。请注意，防火墙仅控制对数据的电子访问，但它并不提供对侵犯和毁坏的物理保护。

3．认证数据源

您的防火墙并不帮您认证数据源。您的防火墙不能补救TCP／IP大多数明显的安全性弱点——正在工作的任何人可能会对某些别的未授权的计算机发布信息。您的防火墙不能防止您受到TCP／IP邀请的捉弄。

4．数据的机密

在内部网络中，您的防火墙不能保护数据机密性。许多后期防火墙，包括越界数据包的编码工具，如果使用这些工具。数据包的接收者必须与发送者有一样的防火墙，然而这通常是不可能的。对防火墙的需求预示着您的公司必须把您的本地网连到外部的世界——Internet上。您可以通过评论和分析本地和Internet之间传输的通信类型和数量来制定出一种特定防火墙的设计方案。设计防火墙时，必须作出如下决策：

（1）决定是否让Internet的用户上载文件到网络服务器上。
（2）决定是否让Internet的用户从网络服务器上下载文件。
（3）决定您是否应该取消特别用户（例如竞争者）的所有权限。
（4）决定您的网络是否将包括Internet可访问的网页。
（5）决定您的站点是否包括支持Telnet/Ftp等服务。
（6）决定您的雇员应该有多少外出访问Internet和网页的权限。
（7）决定您是否将有一个敬业的员工来监测防火墙的安全性。
（8）如果一个侵犯者进入您的本地网，您要预测这种情况下您的网络和数据可能发生的最糟糕的情况。

一般防火墙都是都过端口来进行访问控制的，但这样有一个问题，只要你打开一个端口，例如80端口，就会有利用这一端口漏洞的攻击进来。此外，理论上所有应用都可以开在80端口，或者通过80端口建立http tunnel，所以风度效果是有限的。