包过滤型防火墙不能防御的攻击

① 防火墙不能防止以下那些攻击行为

防火墙不能防止内部网络用户的攻击、传送已感染病毒的软件和文件、数据驱动型的攻击回。防火墙主要答是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障，从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下，用户才能够进入计算机内。

在外部的用户要进入到计算机内时，防火墙就会迅速的发出相应的警报，并提醒用户的行为，并进行自我的判断来决定是否允许外部的用户进入到内部，只要是在网络环境内的用户，这种防火墙都能够进行有效的查询，同时把查到信息朝用户进行显示。

(1)包过滤型防火墙不能防御的攻击扩展阅读：

内部网络和外部网络之间的所有网络数据流都必须经过防火墙。这是防火墙所处网络位置特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的通道，才可以全面、有效地保护企业网部网络不受侵害。

根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。

② 防火墙不能防止内部攻击这句话是不是对的

不是,是防护外部攻击,内部和外部网络都包括在互连网里,有些内部攻击,防火墙不能防范

③ 防火墙到底能不能防止数据驱动式攻击

不能，防火墙不来能防止数据驱动源式攻击，因为防火墙不能防范由于内部用户不注意所造成的威胁，很难防治受到病毒感染的软件或文件在网络上传输。

防火墙不能防范不经由防火墙的攻击，防火墙不能防止感染了病毒的软件或文件的传输；防火墙不能防止数据驱动式攻击。

(3)包过滤型防火墙不能防御的攻击扩展阅读

防火墙作为内部网与外部网之间的一种访问控制设备， 常常安装在内部网和外部网交界点上。防火墙具有很好的网络安全保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。

高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。网络防火墙的主要作用如下：

（1）Internet防火墙可以防止Internet上的危险(病毒、资源盗用)传播到网络内部；

（2）能强化安全策略；

（3）能有效记录Internet上的活动；

（4）可限制暴露用户点；

（5）它是安全策略的检查点。

④ 防火墙能防住什么，不能防住什么

通常防火墙系统具有以下功能：

● 访问控制，可以执行基于地址（源和目标）、用户和时间的访问控制策略，从而可以杜绝非授权的访问，同时保护内部用户的合法访问不受影响。

● 审计，对通过它的网络访问进行记录，建立完备的日志、审计和追踪网络访问，并可以根据需要产生报表。

● 抗攻击，防火墙系统直接暴露于非信任网络下，对外而言受到防火墙保护的内部网络如同一个点，所有的攻击都是直接针对它的，该点称为堡垒机，因此要求堡垒机具有高度的安全性和抵御各种攻击能力。

● 其他附属功能，如与审计相关的报警和入侵检测，与访问控制相关的身份验证、加密和认证，甚至vpn等。

■ 四种分类

本质上来讲，防火墙被认为是两个网络间的隔断，只允许选定的某种形式的通信通过。防火墙另外一个重要特征是它自身抵抗攻击的能力，防火墙自身应当不易被攻入，因为一旦防火墙被攻入就给攻击者进入内部网提供了一个立足点。

最简单和最流行的防火墙形式是屏蔽路由器，多数商业路由器具有内置的限制目的地间通信的能力。屏蔽路由器只在网络层工作，它的允许/禁止功能取决于tcp/ip数据包的头信息。其速度快、适应性强、价格便宜，但缺乏对其通信提供详细审计的能力。屏蔽路由器往往比较脆弱，因为它还要依赖其背后主机上软件的正确配置，因此许多专家不会以它作为中心防范措施。

另一种形式的防火墙是应用网关防火墙（也称为基于代理的防火墙），通常被配置为“双宿主网关”，具有两个网络接口卡，同时接入内部和外部网。由于网关可以同时与两个网络通信，它是安装传递数据软件的理想位置，这种软件称为“代理”，通常是为其所提供的服务定制的。代理能够对通过它的数据进行详细的追踪。许多专家认为它更加安全，因为代理软件可以根据防火墙后面主机的脆弱性来定制，以专门防范已知的攻击。代理防火墙的最大缺点在于它往往是非透明的，而且不支持那些尚未开发代理的协议，因为功能完善的代理需要很好地支持应用协议，不存在真正意义上的通用代理。

第三种类型的防火墙基于“动态包过滤”。动态包过滤防火墙就像代理防火墙和包过滤路由器的交叉，对终端用户来讲，它看起来只工作在网络层，但事实上该防火墙同代理防火墙一样在应用层检查流经的通信。当用户通过防火墙连到外面，在会话持续期间，它记录该行为并允许回传给用户数据。动态包过滤防火墙是一项还在发展的很有吸引力的技术，看来会很有前途。

混合型防火墙是以上提到的各种类型防火墙的结合。

⑤ 包过滤防火墙的技术缺点

→一些包过滤网关不支持有效的用户认证。
→规则表很快会变得很大而且复杂，规则很难测试。随着表的增大和复杂性的增加，规则结构出现漏洞的可能 性也会增加。
→这种防火墙最大的缺陷是它依赖一个单一的部件来保护系统。如果这个部件出现了问题，会使得网络大门敞开，而用户甚至可能还不知道。
→在一般情况下，如果外部用户被允许访问内部主机，则它就可以访问内部网上的任何主机。
→包过滤防火墙只能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装外部主机的IP欺骗却不可能阻止，而且它不能防止DNS欺骗。
虽然，包过滤防火墙有如上所述的缺点，但是在管理良好的小规模网络上，它能够正常的发挥其作用。一般情况下，人们不单独使用包过滤网关，而是将它和其他设备（如堡垒主机等）联合使用。
包过滤的工作是通过查看数据包的源地址、目的地址或端口来实现的，一般来说，它不保持前后连接信息，过滤决定是根据 当前数据包的内容来做的。管理员可以做一个可接受机和服务的列表，以及一个不可接受机和服务的列表。在主机和网络一级，利用数据包过滤很容易实现允许或禁止访问。
由此不难看出这个层次的防火墙的优点和弱点，由于防火墙只是工作在OSI的第三层（网络层）和第四层（传输层），因此包过滤的防火墙的一个非常明显的优势就是速度，这是因为防火墙只是去检查数据报的报头，而对数据报所携带的内容没有任何形势的检查，因此速度非常快。与此同时，这种防火墙的缺点也是显而易见的，比较关键的几点如下所述。
（1）由于无法对数据报的内容进行核查，一次无法过滤或审核数据报的内容
体现这一问题的一个很简单的例子就是：对某个端口的开放意味着相应端口对应的服务所能够提供的全部功能都被开放，即使通过防火墙的数据报有攻击性，也无法进行控制和阻断。例如在一个简单的Web服务器，而包过滤的防火墙无法对数据报内容进行核查。因此，未打相应补丁的提供Web服务的系统，及时在防火墙的屏蔽之后，也会被攻击着轻易获取超级用户的权限。
（2）由于此种类型的防火墙工作在较低层次，防火墙本身所能接触的信息较少，所以它无法提供描述细致事件的日志系统。
此类防火墙生成的日志常常只是包括数据报捕获的时间、网络层的IP地址、传输层的端口等非常原始的信息。至于这个数据报内容是什么，防火墙不会理会，而这对安全管理员而言恰恰是很关键的。因为及时一个非常优秀的系统管理员，一旦陷入大量的通过/屏蔽的原始数据包信息中，往往也是难以理清头绪，这在发生安全事件时给管理员的安全审计带来很大的困难。
（3）所有可能用到的端口（尤其是大于1024的端口）都必须开放，对外界暴露，从而极大地增加了被攻击的可能性
通常对于网络上所有服务所需要的数据包进出防火墙的二端口都要仔细考虑，否则会产生意想不到的情况。然而我们知道，当被防火墙保护的设备与外界通信时，绝大多数应用要求发出请求的系统本身提供一个端口，用来接收外界返回的数据包，而且这个端口一般是在1024到65536之间不确定的，如果不开放这些端口，通信将无法完成，这样就需要开放1024以上的全部端口，允许这些端口的数据包进出。而这就带来非常大的安全隐患。例如：用户网中有一台UNIX服务器，对内部用户开放了RPC服务，而这个服务是用在高端口的，那么这台服务器非常容易遭到基于RPC应用的攻击。
（4）如果网络结构比较复杂，那么对管理员而言配置访问控制规则将非常困难
当网络发展到一定规模时，在路由器上配置访问控制规则将会非常繁琐，在一个规则甚至一个地址处出现错误都有可能导致整个访问控制列表无法正常使用。

⑥ 防火墙为何不能防御内部网络攻击

黑客攻击行为特征分析 反攻击技术综合性分析报告
信息源:计算机与安全
要想更好的保护网络不受黑客的攻击，就必须对黑客的攻击方法、攻击原理、攻击过程有深入的、详细的了解，只有这样才能更有效、更具有针对性的进行主动防护。下面通过对黑客攻击方法的特征分析，来研究如何对黑客攻击行为进行检测与防御。
一、反攻击技术的核心问题
反攻击技术（入侵检测技术）的核心问题是如何截获所有的网络信息。目前主要是通过两种途径来获取信息，一种是通过网络侦听的途径（如Sniffer，Vpacket等程序）来获取所有的网络信息（数据包信息，网络流量信息、网络状态信息、网络管理信息等），这既是黑客进行攻击的必然途径，也是进行反攻击的必要途径；另一种是通过对操作系统和应用程序的系统日志进行分析，来发现入侵行为和系统潜在的安全漏洞。
二、黑客攻击的主要方式
黑客对网络的攻击方式是多种多样的，一般来讲，攻击总是利用“系统配置的缺陷”，“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止，已经发现的攻击方式超过2000种，其中对绝大部分黑客攻击手段已经有相应的解决方法，这些攻击大概可以划分为以下六类：
1.拒绝服务攻击：一般情况下，拒绝服务攻击是通过使被攻击对象（通常是工作站或重要服务器）的系统关键资源过载，从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种，它是最基本的入侵攻击手段，也是最难对付的入侵攻击之一，典型示例有SYN Flood攻击、Ping Flood攻击、Land攻击、WinNuke攻击等。
2.非授权访问尝试：是攻击者对被保护文件进行读、写或执行的尝试，也包括为获得被保护访问权限所做的尝试。
3.预探测攻击：在连续的非授权访问尝试过程中，攻击者为了获得网络内部的信息及网络周围的信息，通常使用这种攻击尝试，典型示例包括SATAN扫描、端口扫描和IP半途扫描等。
4.可疑活动：是通常定义的“标准”网络通信范畴之外的活动，也可以指网络上不希望有的活动，如IP Unknown Protocol和Duplicate IP Address事件等。
5.协议解码：协议解码可用于以上任何一种非期望的方法中，网络或安全管理员需要进行解码工作，并获得相应的结果，解码后的协议信息可能表明期望的活动，如FTU User和Portmapper Proxy等解码方式。
6.系统代理攻击：这种攻击通常是针对单个主机发起的，而并非整个网络，通过RealSecure系统代理可以对它们进行监视。
三、黑客攻击行为的特征分析与反攻击技术
入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为，要有效的进反攻击首先必须了解入侵的原理和工作机理，只有这样才能做到知己知彼，从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的入侵攻击进行分析，并提出相应的对策。
1.Land攻击
攻击类型：Land攻击是一种拒绝服务攻击。
攻击特征：用于Land攻击的数据包中的源地址和目标地址是相同的，因为当操作系统接收到这类数据包时，不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况，或者循环发送和接收该数据包，消耗大量的系统资源，从而有可能造成系统崩溃或死机等现象。
检测方法：判断网络数据包的源地址和目标地址是否相同。
反攻击方法：适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为（一般是丢弃该数据包），并对这种攻击进行审计（记录事件发生的时间，源主机和目标主机的MAC地址和IP地址）。
2.TCP SYN攻击
攻击类型：TCP SYN攻击是一种拒绝服务攻击。
攻击特征：它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包，当被攻击主机接收到大量的SYN数据包时，需要使用大量的缓存来处理这些连接，并将SYN ACK数据包发送回错误的IP地址，并一直等待ACK数据包的回应，最终导致缓存用完，不能再处理其它合法的SYN连接，即不能对外提供正常服务。
检测方法：检查单位时间内收到的SYN连接否收超过系统设定的值。
反攻击方法：当接收到大量的SYN数据包时，通知防火墙阻断连接请求或丢弃这些数据包，并进行系统审计。
3.Ping Of Death攻击
攻击类型：Ping Of Death攻击是一种拒绝服务攻击。
攻击特征：该攻击数据包大于65535个字节。由于部分操作系统接收到长度大于65535字节的数据包时，就会造成内存溢出、系统崩溃、重启、内核失败等后果，从而达到攻击的目的。
检测方法：判断数据包的大小是否大于65535个字节。
反攻击方法：使用新的补丁程序，当收到大于65535个字节的数据包时，丢弃该数据包，并进行系统审计。
4.WinNuke攻击
攻击类型：WinNuke攻击是一种拒绝服务攻击。
攻击特征：WinNuke攻击又称带外传输攻击，它的特征是攻击目标端口，被攻击的目标端口通常是139、138、137、113、53，而且URG位设为“1”，即紧急模式。
检测方法：判断数据包目标端口是否为139、138、137等，并判断URG位是否为“1”。
反攻击方法：适当配置防火墙设备或过滤路由器就可以防止这种攻击手段（丢弃该数据包），并对这种攻击进行审计（记录事件发生的时间，源主机和目标主机的MAC地址和IP地址MAC）。
5.Teardrop攻击
攻击类型：Teardrop攻击是一种拒绝服务攻击。
攻击特征：Teardrop是基于UDP的病态分片数据包的攻击方法，其工作原理是向被攻击者发送多个分片的IP包（IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息），某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。
检测方法：对接收到的分片数据包进行分析，计算数据包的片偏移量（Offset）是否有误。
反攻击方法：添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进行审计。
6.TCP／UDP端口扫描
攻击类型：TCP/UDP端口扫描是一种预探测攻击。
攻击特征：对被攻击主机的不同端口发送TCP或UDP连接请求，探测被攻击对象运行的服务类型。
检测方法：统计外界对系统端口的连接请求，特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。
反攻击方法：当收到多个TCP/UDP数据包对异常端口的连接请求时，通知防火墙阻断连接请求，并对攻击者的IP地址和MAC地址进行审计。
对于某些较复杂的入侵攻击行为（如分布式攻击、组合攻击）不但需要采用模式匹配的方法，还需要利用状态转移、网络拓扑结构等方法来进行入侵检测。
四、入侵检测系统的几点思考
从性能上讲，入侵检测系统面临的一个矛盾就是系统性能与功能的折衷，即对数据进行全面复杂的检验构成了对系统实时性要求很大的挑战。
从技术上讲，入侵检测系统存在一些亟待解决的问题，主要表现在以下几个方面：
1.如何识别“大规模的组合式、分布式的入侵攻击”目前还没有较好的方法和成熟的解决方案。从Yahoo等著名ICP的攻击事件中，我们了解到安全问题日渐突出，攻击者的水平在不断地提高，加上日趋成熟多样的攻击工具，以及越来越复杂的攻击手法，使入侵检测系统必须不断跟踪最新的安全技术。
2.网络入侵检测系统通过匹配网络数据包发现攻击行为，入侵检测系统往往假设攻击信息是明文传输的，因此对信息的改变或重新编码就可能骗过入侵检测系统的检测，因此字符串匹配的方法对于加密过的数据包就显得无能为力。
3.网络设备越来越复杂、越来越多样化就要求入侵检测系统能有所定制，以适应更多的环境的要求。
4.对入侵检测系统的评价还没有客观的标准，标准的不统一使得入侵检测系统之间不易互联。入侵检测系统是一项新兴技术，随着技术的发展和对新攻击识别的增加，入侵检测系统需要不断的升级才能保证网络的安全性。
5.采用不恰当的自动反应同样会给入侵检测系统造成风险。入侵检测系统通常可以与防火墙结合在一起工作，当入侵检测系统发现攻击行为时，过滤掉所有来自攻击者的IP数据包，当一个攻击者假冒大量不同的IP进行模拟攻击时，入侵检测系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉，于是造成新的拒绝服务访问。
6.对IDS自身的攻击。与其他系统一样，IDS本身也存在安全漏洞，若对IDS攻击成功，则导致报警失灵，入侵者在其后的行为将无法被记录，因此要求系统应该采取多种安全防护手段。
7.随着网络的带宽的不断增加，如何开发基于高速网络的检测器（事件分析器）仍然存在很多技术上的困难。
入侵检测系统作为网络安全关键性测防系统，具有很多值得进一步深入研究的方面，有待于我们进一步完善，为今后的网络发展提供有效的安全手段。

⑦ 包过滤网络防火墙能否阻挡网站SQL注入攻击，为啥

基本不能&……

sql注入是利用页面的输入框或者地址栏，将特定的语句输入传入后台，并专在数据库属执行，通过页面返回是否报错等方式窃取数据库管理员信息等的攻击方式。

一般要将传入后台的字符进行转义，去掉select、update等关键字，并将出错信息经过处理后反馈给用户（不要将具体的出错信息告诉用户，因为用户会根据出错信息猜测的）

比如：
例如管理员的账号密码都是admin，那么再比如后台的数据库查询语句是
user=request("user")
passwd=request("passwd")
sql='select admin from adminbate where user='&'''&user&'''&' and passwd='&'''&passwd&'''
那么我使用'or 'a'='a来做用户名密码的话，那么查询就变成了
select admin from adminbate where user=''or 'a'='a' and passwd=''or 'a'='a'
这样的话，根据运算规则，这里一共有4个查询语句，那么查询结果就是 假or真and假or真，先算and 再算or，最终结果为真，这样就可以进到后台了

⑧ 防火墙能防什么不能防什么

防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流回出的所有网答络通信均要经过此防火墙。

防火墙的功能

防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

为什么使用防火墙
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

防火墙的类型

防火墙有不同类型。一个防火墙可以是硬件自身的一部分，你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行，该机器作为它背后网络中所有计算机的代理和防火墙。最后，直接连在因特网的机器可以使用个人防火墙。

他只是防止 并不能杀毒 呵呵

杀毒只杀 不防

两个要配合使用

⑨ 什么是数据驱动式攻击防火墙为什么不能防止数据驱动式攻击

数据驱动攻击是通过向某个程序发送数据，以产生非预期结果的攻击，通常为攻击者版给出访问目标系统的权限，数权据驱动攻击分为缓冲区溢出攻击、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击等。

防火墙不能防止数据驱动式攻击，因为防火墙不能防范由于内部用户不注意所造成的威胁，很难防治受到病毒感染的软件或文件在网络上传输。

防火墙不能防范不经由防火墙的攻击；防火墙不能防止感染了病毒的软件或文件的传输；防火墙不能防止数据驱动式攻击。

(9)包过滤型防火墙不能防御的攻击扩展阅读：

软件防火墙及硬件防火墙中还有的其他功能，例如CF（内容过滤）IDS（入侵侦测）IPS（入侵防护）以及VPN等等的功能。也就是说硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。

硬件防火墙是保障内部网络安全的一道重要屏障。它的安全和稳定，直接关系到整个内部网络的安全。因此，日常例行的检查对于保证硬件防火墙的安全是非常重要的。系统中存在的很多隐患和故障在爆发前都会出现这样或那样的苗头，例行检查的任务就是要发现这些安全隐患，并尽可能将问题定位，方便问题的解决。

⑩ 包过滤技术如何防御黑客攻击以及包过滤技术的优缺点（越详细越好）

包过滤应该是针对某一个数据包来进行的过滤，这样的话就可以防止某些有害的版数据包进入你的网络内部权，但是这样的话它不能够防止一些通过正常端口进行访问的数据包 如DDOS里面的CC攻击就是通过一个正常的80端口来进行访问从而产生了大量的数据流量使服务器承受不住而宕机。