防火牆的局限性

一、面對高級攻擊手段的局限性

1、隧道技術的打破：尋址難度較大。攻擊者可以通過在普通通信協議上加密傳遞數據的方式打破防火牆的防禦。此種攻擊方式稱為隧道攻擊，雖然防火牆可以依據協議對數據的真偽進行檢查，但數據的加密可使協議檢查失效。
2、應用層攻擊：應用層攻擊通常會突破傳輸層防火牆的防禦，利用應用層數據協議上的漏洞直接攻擊後端服務器。比如一個%uFEFFHTTP請求，可以混淆請求方法、路徑、@param、HEADER、COOKIES等數據，可以訪問到目錄、文件、數據信息等，亦可以走代理、SSL層進行攻擊等。如SQL注入、XSS注入、代碼注入、遠程代碼執行等、應用層DOS攻擊等都是此類攻擊方式。

3、內側攻擊：內側攻擊就是指內部員工利用網絡的安全漏洞或者存在的漏洞進行攻擊，通常利用網絡惡意軟件、釣魚網站、弱密碼等方式獲取管理員權限，從而操作攻擊內部系統。
4、網站克隆、惡意內容攻擊、數字欺騙等高級攻擊手段。

二、多層防護無法保證完全安全

防火牆作為一種安全基礎設施，通常會被部署在網絡架構中的重要位置，以依靠其強大性能保護網絡的安全。但是任何基礎設施都有可能有漏洞。比如防火牆本身的漏洞可能被攻擊者所利用，也有可能被Bypass。不少攻擊者甚至利用防火牆竊取管理員密碼，反過來訪問內部網絡並控制目標系統。

三、防火牆無法應對內部攻擊和數據泄露

防火牆通常用於保護網絡不受外部威脅。但是，如果內部有人故意或無意傳播病毒，或者泄露公司敏感信息，此類攻擊都是防火牆無法阻止的。此時，應根據具體情況布置內部安全設備，如內部主機輔助程序、反病毒程序等，防止內部人員的非法行為導致數據泄露。

四、漏洞攻擊方案

在現有的網絡環境中，甲方和乙方之間的通信可能會被第三方監聽和監控，比如通過數據包截獲、攔截/劫持瀏覽器請求、欺騙DNS響應、ARP攻擊、今日頭條攻擊、IP地址偽裝攻擊等手段攔截加密通信內容。防火牆雖然可以依靠自身技能識別這些攻擊策略，但是，這些漏洞攻擊方案依舊難以完全杜絕。
1、數據包竊聽：黑客在目標網絡的任意位置部署特製的設備，截獲局域網內經過的數據流，通過技術手段將竊聽到的數據重新封裝為一個數據包後，投遞到目標服務器上，極大地增加了網絡的風險。
2、攻擊者使用虛假的IP地址對系統進行攻擊。防火牆檢測不出偽造的IP地址，從而會允許偽造地址的數據包存在或進入系統中，從而遭受攻擊。
3、ARP欺騙等攻擊技巧是指攻擊者冒充信任計算機的MAC地址,通過發送假的ARP地址解析協議 (ARP) 來欺騙信任計算機,使其把他所要發送的數據發送給攻擊者，從而攻擊者就能夠輕鬆竊取會話信息。

五、代碼示例