关于防火墙一直存在争议 。 许多访问提供者都不愿意使用防火墙，他们认为防火墙会影响网站的打开速度等 。 但是，此问题仅存在于传统防火墙中 。 传统防火墙主要抵御各种攻击 。 防火墙可以提供客户端防御和网络保护，这不仅有用，而且是必需的 。
传统防火墙擅长的攻击
传统的防火墙只能阻止或允许特定的IP地址和端口，并且可以保护的东西非常有限 。 最常见的应用场景是防止未经授权的用户或恶意软件连接到不受保护的监视服务或守护程序 。 即使忽略路由器在IP /端口过滤方面的超高效率，攻击的时间和类型也已改变，并且传统的防火墙现在基本上已无用 。
二十年前，防止未经授权的连接很有意义 。 大多数计算机保护不力，并且密码较弱 。 它们不仅充满漏洞，而且经常开放的服务允许任何人登录或连接 。 发送格式错误的网络数据包可以摆脱普通服务器的干扰，只有在管理员尚未设置具有允许匿名连接的管理员权限的远程服务时，才需要这样做 。 如果设置了这种远程管理服务，则基本上可以使用 。 随意进入服务器 。 至于Windows的匿名NETBIOS连接，在Windows XP默认禁止它之前15年来，它一直是黑客的宝贵资产 。
如果您的防火墙仅用于阻止未经授权的IP地址或协议，则路由器将变得更好，更快 。 计算机安全行业的座右铭是：“首选最快，最简单的方法 。 ”这是事实 。 如果某些东西可以用更快，更高效的设备阻止，则将该设备用作您的第一道防线 。 这样可以更快，更高效地消除您不需要的更多流量 。 路由器的“上层”代码比防火墙的代码少得多，并且规则列表更短 。 路由器的条件决策周期比防火墙快几个数量级 。 但是，在当今的威胁环境中，很难说是否需要阻止这些未经授权的连接 。
防火墙最擅长防止未经授权的远程连接来监视服务，从而可以防止攻击者利用缓冲区溢出来控制连接后对计算机的控制 。 这是防火墙诞生的主要原因 。 有缺陷的服务太普遍了，已被视为规范 。 诸如Shockwave和Slammer蠕虫之类的恶意程序使用这些服务在几分钟之内席卷了整个世界 。
当前的服务还不那么脆弱 。 如今，编程语言的程序员默认使用检查缓冲区溢出的方法 。 用于阻止传统漏洞利用方法的其他操作系统计算机安全措施也非常擅长于此 。 Microsoft每年在其产品线中发现130-150个漏洞 。 自2003年以来，已发现约2000个漏洞 。 但是只有5-10个仅用于远程使用 。 在同一时期，Apple和Linux机器具有更多漏洞，但只能远程利用的漏洞所占的比例是相同的 。
必须明确：尽管有数百种易受攻击的服务可用，但几乎所有服务都需要本地最终用户采取某种措施来发起攻击 。 单击恶意链接或访问链接到马的网站 。 为什么本地用户必须参加？因为只有当最终用户这样做时，才能创建“允许的”入站连接，然后将另一个“允许的”入站连接返回到用户计算机是合乎逻辑的 。 如今，几乎所有攻击都是“客户端”攻击，防火墙不擅长阻止此类连接 。

文章插图
端口阻塞不再有效
每个服务使用其自己的固定TCP / IP端口时间段，例如对于FTP为21/22，对于SMTP为25 。 这样，传统防火墙就更有用 。
如今，世界上大多数网络流量都使用端口80（HTTP）和443（HTTPS），并且越来越多的情况将仅使用后者 。 在接下来的几年中，那些尚未占用端口443的网络流量将减少为443 。 如果一切都绑定到几个端口，端口阻塞的目的是什么？不仅如此，HTTPS的默认加密功能还使流量过滤更加难以执行 。

• 导线的几种连接方法和接线标准
• 铜线和铝线的连接方法
• 存放和保存化妆品的技巧有哪些
• 预备离婚前如何和孩子相处,离婚前如何和双方父母交流
• 星巴克芝士咸蛋黄蛋糕多少钱一个,星巴克猫和老鼠同款奶酪蛋糕好吃吗
• 相亲怎么和女孩子聊天
• 和相亲对象微信聊什么话题
• 高血压吃什么水果和蔬菜降压最快 一个月高血压吃什么降压最快
• 胡歌和薛佳凝的分手原因 薛佳凝和胡歌怎么回事
• 马龙和张继科哪个荣誉多 马龙和张继科哪个厉害