防火墻的分類(lèi)

1、防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同而分為很多種類(lèi)型，但總體來(lái)講可分為包過(guò)濾、應(yīng)用級(jí)網(wǎng)關(guān)和代理服務(wù)器等幾大類(lèi)型。1.數(shù)據(jù)包過(guò)濾型防火墻     數(shù)據(jù)包過(guò)濾(packet filtering)技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯，被稱(chēng)為訪(fǎng)問(wèn)控制表(access control table)。通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、協(xié)議狀態(tài)等因素，或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。     數(shù)據(jù)包過(guò)濾防火墻邏輯簡(jiǎn)單，價(jià)格便宜，易于安裝和使用，網(wǎng)絡(luò)性能和透明性好，

2、它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與internet連接必不可少的設(shè)備，因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用。     數(shù)據(jù)包過(guò)濾防火墻的缺點(diǎn)：一是非法訪(fǎng)問(wèn)一旦突破防火墻，即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊；二是數(shù)據(jù)包的源地址、目的地址以及ip的端口號(hào)都在數(shù)據(jù)包的頭部，很有可能被竊聽(tīng)或假冒。     分組過(guò)濾或包過(guò)濾，是一種通用、廉價(jià)、有效的安全手段。之所以通用，因?yàn)樗会槍?duì)各個(gè)具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式；之所以廉價(jià)，因?yàn)榇蠖鄶?shù)路由器都提供分組過(guò)濾功能；之所以有效，因?yàn)樗芎艽蟪潭鹊?/p>

3、滿(mǎn)足企業(yè)的安全要求。 所根據(jù)的信息來(lái)源于ip、tcp或udp包頭。     包過(guò)濾的優(yōu)點(diǎn)是不用改動(dòng)客戶(hù)機(jī)和主機(jī)上的應(yīng)用程序，因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無(wú)關(guān)。但其弱點(diǎn)也是明顯的：據(jù)以過(guò)濾判別的只有網(wǎng)絡(luò)層和傳輸層的有限信息，因而各種安全要求不可能充分滿(mǎn)足；在許多過(guò)濾器中，過(guò)濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會(huì)受到很大地影響；由于缺少上下文關(guān)聯(lián)信息，不能有效地過(guò)濾如udp、rpc一類(lèi)的協(xié)議；另外，大多數(shù)過(guò)濾器中缺少審計(jì)和報(bào)警機(jī)制，且管理方式和用戶(hù)界面較差；對(duì)安全管理人員素質(zhì)要求高，建立安全規(guī)則時(shí)，必須對(duì)協(xié)議本身及其在不同應(yīng)用程序中的作

4、用有較深入的理解。因此，過(guò)濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用，共同組成防火墻系統(tǒng)。 2.應(yīng)用級(jí)網(wǎng)關(guān)型防火墻    應(yīng)用級(jí)網(wǎng)關(guān)(application level gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能。它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過(guò)濾邏輯，并在過(guò)濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì)，形成報(bào)告。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常安裝在專(zhuān)用工作站系統(tǒng)上。     數(shù)據(jù)包過(guò)濾和應(yīng)用網(wǎng)關(guān)防火墻有一個(gè)共同的特點(diǎn)，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過(guò)。一旦滿(mǎn)足邏輯，則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直

5、接聯(lián)系，防火墻外部的用戶(hù)便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)，這有利于實(shí)施非法訪(fǎng)問(wèn)和攻擊。 3.代理服務(wù)型防火墻     代理服務(wù)(proxy service)也稱(chēng)鏈路級(jí)網(wǎng)關(guān)或tcp通道(circuit level gateways or tcp tunnels)，也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類(lèi)。它是針對(duì)數(shù)據(jù)包過(guò)濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)終止代理服務(wù)器上的“鏈接”來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離

6、防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。     代理服務(wù)也對(duì)過(guò)往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記，形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。     應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作 用。同時(shí)也常結(jié)合入過(guò)濾器的功能。它工作在osi模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。 4.復(fù)合型防火墻    由于對(duì)更高安全性的要求，常把基于包過(guò)濾的方法與基于應(yīng)用代理的方法結(jié)合起來(lái)，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下

7、兩種方案。     屏蔽主機(jī)防火墻體系結(jié)構(gòu)：在該結(jié)構(gòu)中，分組過(guò)濾路由器或防火墻與internet相連，同時(shí)一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過(guò)在分組過(guò)濾路由器或防火墻上過(guò)濾規(guī)則的設(shè)置，使堡壘機(jī)成為internet上其它節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn)，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶(hù)的攻擊。     屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個(gè)分組過(guò)濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與internet及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘主機(jī)和分組過(guò)濾路由器共同構(gòu)成了整個(gè)防火墻的安全基礎(chǔ)。網(wǎng)絡(luò)

8、安全成為當(dāng)今最熱門(mén)的話(huà)題之一，很多企業(yè)為了保障自身服務(wù)器或數(shù)據(jù)安全都采用了防火墻。隨著科技的發(fā)展，防火墻也逐漸被大眾所接受。但是，由于防火墻是屬于高科技產(chǎn)物，許多的人對(duì)此還并不是了解的十分透徹。而這篇文章就是給大家講述了防火墻工作的方式，以及防火墻的基本分類(lèi)，并且討論了每一種防火墻的優(yōu)缺點(diǎn)。一、防火墻的基本分類(lèi)1包過(guò)濾防火墻第一代防火墻和最基本形式防火墻檢查每一個(gè)通過(guò)的網(wǎng)絡(luò)包，或者丟棄，或者放行，取決于所建立的一套規(guī)則。這稱(chēng)為包過(guò)濾防火墻。本質(zhì)上，包過(guò)濾防火墻是多址的，表明它有兩個(gè)或兩個(gè)以上網(wǎng)絡(luò)適配器或接口。例如，作為防火墻的設(shè)備可能有兩塊網(wǎng)卡(nic)，一塊連到內(nèi)部網(wǎng)絡(luò)，一塊連到公共的int

9、ernet。防火墻的任務(wù)，就是作為“通信警察”，指引包和截住那些有危害的包。包過(guò)濾防火墻檢查每一個(gè)傳入包，查看包中可用的基本信息（源地址和目的地址、端口號(hào)、協(xié)議等）。然后，將這些信息與設(shè)立的規(guī)則相比較。如果已經(jīng)設(shè)立了阻斷telnet連接，而包的目的端口是23的話(huà)，那么該包就會(huì)被丟棄。如果允許傳入web連接，而目的端口為80，則包就會(huì)被放行。多個(gè)復(fù)雜規(guī)則的組合也是可行的。如果允許web連接，但只針對(duì)特定的服務(wù)器，目的端口和目的地址二者必須與規(guī)則相匹配，才可以讓該包通過(guò)。最后，可以確定當(dāng)一個(gè)包到達(dá)時(shí)，如果對(duì)該包沒(méi)有規(guī)則被定義，接下來(lái)將會(huì)發(fā)生什么事情了。通常，為了安全起見(jiàn)，與傳入規(guī)則不匹配的包就被丟

10、棄了。如果有理由讓該包通過(guò)，就要建立規(guī)則來(lái)處理它。建立包過(guò)濾防火墻規(guī)則的例子如下：對(duì)來(lái)自專(zhuān)用網(wǎng)絡(luò)的包，只允許來(lái)自?xún)?nèi)部地址的包通過(guò)，因?yàn)槠渌徽_的包頭部信息。這條規(guī)則可以防止網(wǎng)絡(luò)內(nèi)部的任何人通過(guò)欺騙性的源地址發(fā)起攻擊。而且，如果黑客對(duì)專(zhuān)用網(wǎng)絡(luò)內(nèi)部的機(jī)器具有了不知從何得來(lái)的訪(fǎng)問(wèn)權(quán)，這種過(guò)濾方式可以阻止黑客從網(wǎng)絡(luò)內(nèi)部發(fā)起攻擊。在公共網(wǎng)絡(luò)，只允許目的地址為80端口的包通過(guò)。這條規(guī)則只允許傳入的連接為web連接。這條規(guī)則也允許與web連接使用相同端口的連接，所以它并不是十分安全。丟棄從公共網(wǎng)絡(luò)傳入的包，而這些包都有你的網(wǎng)絡(luò)內(nèi)的源地址，從而減少ip欺騙性的攻擊。丟棄包含源路由信息的包，以減少源路由

11、攻擊。要記住，在源路由攻擊中，傳入的包包含路由信息，它覆蓋了包通過(guò)網(wǎng)絡(luò)應(yīng)采取得正常路由，可能會(huì)繞過(guò)已有的安全程序。通過(guò)忽略源路2狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻，試圖跟蹤通過(guò)防火墻的網(wǎng)絡(luò)連接和包，這樣防火墻就可以使用一組附加的標(biāo)準(zhǔn)，以確定是否允許和拒絕通信。它是在使用了基本包過(guò)濾防火墻的通信上應(yīng)用一些技術(shù)來(lái)做到這點(diǎn)的。當(dāng)包過(guò)濾防火墻見(jiàn)到一個(gè)網(wǎng)絡(luò)包，包是孤立存在的。它沒(méi)有防火墻所關(guān)心的歷史或未來(lái)。允許和拒絕包的決定完全取決于包自身所包含的信息，如源地址、目的地址、端口號(hào)等。包中沒(méi)有包含任何描述它在信息流中的位置的信息，則該包被認(rèn)為是無(wú)狀態(tài)的；它僅是存在而已。一個(gè)有狀態(tài)包檢查防火墻跟蹤的不

12、僅是包中包含的信息。為了跟蹤包的狀態(tài)，防火墻還記錄有用的信息以幫助識(shí)別包，例如已有的網(wǎng)絡(luò)連接、數(shù)據(jù)的傳出請(qǐng)求等。例如，如果傳入的包包含視頻數(shù)據(jù)流，而防火墻可能已經(jīng)記錄了有關(guān)信息，是關(guān)于位于特定ip地址的應(yīng)用程序最近向發(fā)出包的源地址請(qǐng)求視頻信號(hào)的信息。如果傳入的包是要傳給發(fā)出請(qǐng)求的相同系統(tǒng)，防火墻進(jìn)行匹配，包就可以被允許通過(guò)。一個(gè)狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻可截?cái)嗨袀魅氲耐ㄐ牛试S所有傳出的通信。因?yàn)榉阑饓Ω檭?nèi)部出去的請(qǐng)求，所有按要求傳入的數(shù)據(jù)被允許通過(guò)，直到連接被關(guān)閉為止。只有未被請(qǐng)求的傳入通信被截?cái)?。如果在防火墻?nèi)正運(yùn)行一臺(tái)服務(wù)器，配置就會(huì)變得稍微復(fù)雜一些，但狀態(tài)包檢查是很有力和適應(yīng)性的技術(shù)。

13、例如，可以將防火墻配置成只允許從特定端口進(jìn)入的通信，只可傳到特定服務(wù)器。如果正在運(yùn)行web服務(wù)器，防火墻只將80端口傳入的通信發(fā)到指定的web服務(wù)器。狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻可提供的其他一些額外的服務(wù)有：將某些類(lèi)型的連接重定向到審核服務(wù)中去。例如，到專(zhuān)用web服務(wù)器的連接，在web服務(wù)器連接被允許之前，可能被發(fā)到secutid服務(wù)器（用一次性口令來(lái)使用）。拒絕攜帶某些數(shù)據(jù)的網(wǎng)絡(luò)通信，如帶有附加可執(zhí)行程序的傳入電子消息，或包含activex程序的web頁(yè)面。跟蹤連接狀態(tài)的方式取決于包通過(guò)防火墻的類(lèi)型：tcp包。當(dāng)建立起一個(gè)tcp連接時(shí)，通過(guò)的第一個(gè)包被標(biāo)有包的syn標(biāo)志。通常情況下，防火墻丟棄所有外

14、部的連接企圖，除非已經(jīng)建立起某條特定規(guī)則來(lái)處理它們。對(duì)內(nèi)部的連接試圖連到外部主機(jī)，防火墻注明連接包，允許響應(yīng)及隨后再兩個(gè)系統(tǒng)之間的包，直到連接結(jié)束為止。在這種方式下，傳入的包只有在它是響應(yīng)一個(gè)已建立的連接時(shí)，才會(huì)被允許通過(guò)。udp包。udp包比tcp包簡(jiǎn)單，因?yàn)樗鼈儾话魏芜B接或序列信息。它們只包含源地址、目的地址、校驗(yàn)和攜帶的數(shù)據(jù)。這種信息的缺乏使得防火墻確定包的合法性很困難，因?yàn)闆](méi)有打開(kāi)的連接可利用，以測(cè)試傳入的包是否應(yīng)被允許通過(guò)?？墒?，如果防火墻跟蹤包的狀態(tài)，就可以確定。對(duì)傳入的包，若它所使用的地址和udp包攜帶的協(xié)議與傳出的連接請(qǐng)求匹配，該包就被允許通過(guò)。和tcp包一樣，沒(méi)有傳入的u

15、dp包會(huì)被允許通過(guò)，除非它是響應(yīng)傳出的請(qǐng)求或已經(jīng)建立了指定的規(guī)則來(lái)處理它。對(duì)其他種類(lèi)的包，情況和udp包類(lèi)似。防火墻仔細(xì)地跟蹤傳出的請(qǐng)求，記錄下所使用的地址、協(xié)議和包的類(lèi)型，然后對(duì)照保存過(guò)的信息核對(duì)傳入的包，以確保這些包是被請(qǐng)求的。由信息，防火墻可以減少這種方式的攻擊。3應(yīng)用程序代理防火墻應(yīng)用程序代理防火墻實(shí)際上并不允許在它連接的網(wǎng)絡(luò)之間直接通信。相反，它是接受來(lái)自?xún)?nèi)部網(wǎng)絡(luò)特定用戶(hù)應(yīng)用程序的通信，然后建立于公共網(wǎng)絡(luò)服務(wù)器單獨(dú)的連接。網(wǎng)絡(luò)內(nèi)部的用戶(hù)不直接與外部的服務(wù)器通信，所以服務(wù)器不能直接訪(fǎng)問(wèn)內(nèi)部網(wǎng)的任何一部分。另外，如果不為特定的應(yīng)用程序安裝代理程序代碼，這種服務(wù)是不會(huì)被支持的，不能建立任何

16、連接。這種建立方式拒絕任何沒(méi)有明確配置的連接，從而提供了額外的安全性和控制性。例如，一個(gè)用戶(hù)的web瀏覽器可能在80端口，但也經(jīng)常可能是在1080端口，連接到了內(nèi)部網(wǎng)絡(luò)的http代理防火墻。防火墻然后會(huì)接受這個(gè)連接請(qǐng)求，并把它轉(zhuǎn)到所請(qǐng)求的web服務(wù)器。這種連接和轉(zhuǎn)移對(duì)該用戶(hù)來(lái)說(shuō)是透明的，因?yàn)樗耆怯纱矸阑饓ψ詣?dòng)處理的。代理防火墻通常支持的一些常見(jiàn)的應(yīng)用程序有：httphttps/sslsmtppop3imapnntptelnetftpirc應(yīng)用程序代理防火墻可以配置成允許來(lái)自?xún)?nèi)部網(wǎng)絡(luò)的任何連接，它也可以配置成要求用戶(hù)認(rèn)證后才建立連接。要求認(rèn)證的方式由只為已知的用戶(hù)建立連接的這種限制，為安全

17、性提供了額外的保證。如果網(wǎng)絡(luò)受到危害，這個(gè)特征使得從內(nèi)部發(fā)動(dòng)攻擊的可能性大大減少。4.nat討論到防火墻的主題，就一定要提到有一種路由器，盡管從技術(shù)上講它根本不是防火墻。網(wǎng)絡(luò)地址轉(zhuǎn)換(nat)協(xié)議將內(nèi)部網(wǎng)絡(luò)的多個(gè)ip地址轉(zhuǎn)換到一個(gè)公共地址發(fā)到internet上。nat經(jīng)常用于小型辦公室、家庭等網(wǎng)絡(luò)，多個(gè)用戶(hù)分享單一的ip地址，并為internet連接提供一些安全機(jī)制。當(dāng)內(nèi)部用戶(hù)與一個(gè)公共主機(jī)通信時(shí)，nat追蹤是哪一個(gè)用戶(hù)作的請(qǐng)求，修改傳出的包，這樣包就像是來(lái)自單一的公共ip地址，然后再打開(kāi)連接。一旦建立了連接，在內(nèi)部計(jì)算機(jī)和web站點(diǎn)之間來(lái)回流動(dòng)的通信就都是透明的了。當(dāng)從公共網(wǎng)絡(luò)傳來(lái)一個(gè)未經(jīng)請(qǐng)

18、求的傳入連接時(shí)，nat有一套規(guī)則來(lái)決定如何處理它。如果沒(méi)有事先定義好的規(guī)則，nat只是簡(jiǎn)單的丟棄所有未經(jīng)請(qǐng)求的傳入連接，就像包過(guò)濾防火墻所做的那樣。可是，就像對(duì)包過(guò)濾防火墻一樣，你可以將nat配置為接受某些特定端口傳來(lái)的傳入連接，并將它們送到一個(gè)特定的主機(jī)地址。5個(gè)人防火墻現(xiàn)在網(wǎng)絡(luò)上流傳著很多的個(gè)人防火墻軟件，它是應(yīng)用程序級(jí)的。個(gè)人防火墻是一種能夠保護(hù)個(gè)人計(jì)算機(jī)系統(tǒng)安全的軟件，它可以直接在用戶(hù)的計(jì)算機(jī)上運(yùn)行，使用與狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻相同的方式，保護(hù)一臺(tái)計(jì)算機(jī)免受攻擊。通常，這些防火墻是安裝在計(jì)算機(jī)網(wǎng)絡(luò)接口的較低級(jí)別上，使得它們可以監(jiān)視傳入傳出網(wǎng)卡的所有網(wǎng)絡(luò)通信。一旦安裝上個(gè)人防火墻，就可以把

19、它設(shè)置成“學(xué)習(xí)模式”，這樣的話(huà)，對(duì)遇到的每一種新的網(wǎng)絡(luò)通信，個(gè)人防火墻都會(huì)提示用戶(hù)一次，詢(xún)問(wèn)如何處理那種通信。然后個(gè)人防火墻便記住響應(yīng)方式，并應(yīng)用于以后遇到的相同那種網(wǎng)絡(luò)通信。例如，如果用戶(hù)已經(jīng)安裝了一臺(tái)個(gè)人web服務(wù)器，個(gè)人防火墻可能將第一個(gè)傳入的web連接作上標(biāo)志，并詢(xún)問(wèn)用戶(hù)是否允許它通過(guò)。用戶(hù)可能允許所有的web連接、來(lái)自某些特定ip地址范圍的連接等，個(gè)人防火墻然后把這條規(guī)則應(yīng)用于所有傳入的web連接?；旧?，你可以將個(gè)人防火墻想象成在用戶(hù)計(jì)算機(jī)上建立了一個(gè)虛擬網(wǎng)絡(luò)接口。不再是計(jì)算機(jī)的操作系統(tǒng)直接通過(guò)網(wǎng)卡進(jìn)行通信，而是以操作系統(tǒng)通過(guò)和個(gè)人防火墻對(duì)話(huà)，仔細(xì)檢查網(wǎng)絡(luò)通信，然后再通過(guò)網(wǎng)卡通信。

20、二、各類(lèi)防火墻的優(yōu)缺點(diǎn)1包過(guò)濾防火墻使用包過(guò)濾防火墻的優(yōu)點(diǎn)包括：防火墻對(duì)每條傳入和傳出網(wǎng)絡(luò)的包實(shí)行低水平控制。每個(gè)ip包的字段都被檢查，例如源地址、目的地址、協(xié)議、端口等。防火墻將基于這些信息應(yīng)用過(guò)濾規(guī)則。防火墻可以識(shí)別和丟棄帶欺騙性源ip地址的包。包過(guò)濾防火墻是兩個(gè)網(wǎng)絡(luò)之間訪(fǎng)問(wèn)的唯一來(lái)源。因?yàn)樗械耐ㄐ疟仨毻ㄟ^(guò)防火墻，繞過(guò)是困難的。包過(guò)濾通常被包含在路由器數(shù)據(jù)包中，所以不必額外的系統(tǒng)來(lái)處理這個(gè)特征。使用包過(guò)濾防火墻的缺點(diǎn)包括：配置困難。因?yàn)榘^(guò)濾防火墻很復(fù)雜，人們經(jīng)常會(huì)忽略建立一些必要的規(guī)則，或者錯(cuò)誤配置了已有的規(guī)則，在防火墻上留下漏洞。然而，在市場(chǎng)上，許多新版本的防火墻對(duì)這個(gè)缺點(diǎn)正在作改進(jìn)，如開(kāi)發(fā)者實(shí)現(xiàn)了基于圖形化用戶(hù)界面(gui)的配置和更直接的規(guī)則定義。為特定服務(wù)開(kāi)放的端口存在著危險(xiǎn)，可能會(huì)被用于其他傳輸。例如，web服務(wù)器默認(rèn)端口為80，而計(jì)算機(jī)上又安裝了realplayer，那么它會(huì)搜尋可以允許連接到realaudio服務(wù)器的端口，而不管這個(gè)端口是否被其他協(xié)議所使用，realplayer正好是使用80端口而搜尋的。就這樣無(wú)意中，realplayer就利用了web服務(wù)器的端口?？赡苓€有其他方法繞過(guò)防火