Недостатки, связанные с применением Firewall.

Кроме того, что существуют угрозы, которым Firewall не могут противостоять, их применение создает определенные трудности.

Наиболее очевидным недостатком Firewall является большая вероятность того, что он может заблокировать некоторые необходимые пользователю службы, такие как telnet, ftp, X Windows, NFS и т.д. Однако, эти недостатки присущи не только Firewall, доступ к сети может быть ограничен также и на уровне хост-ЭВМ, в зависимости от методики обеспечения безопасности сети. Тщательно разработанная методика обеспечения безопасности должна приводить требования безопасности в соответствие с нуждами пользователя, что может оказать значительную помощь в сокращении проблем ограничения доступа к службам.

Некоторые объекты могут обладать топологией, не предназначенной для использования Firewall, или использовать службы типа NFS таким образом, что его использование потребовало бы глобальной реорганизации сети. Например, объект может зависеть от использования на главных шлюзах систем NFS и NIS. В этой ситуации нужно сопоставить относительную стоимость введения Firewall и размер ущерба от возможных атак, которые существовали бы при его отсутствии.

Во-вторых, Firewall не защищают объект от проникновения через «люки». Например, если на объект, защищенный Firewall, все же разрешается неограниченный модемный доступ, нарушители могут с успехом обойти Firewall. Скорости модемов в настоящее время достаточно велики для практической реализации протоколов SLIP (Serial Line IP) и PPP (Point-to-Point); связь через протоколы SLIP и РРР в рамках защищенной подсети является, по существу, еще одним сетевым соединением и потенциальным каналом нападения.

Firewall, как правило, не обеспечивают защиту от внутренних угроз. С одной стороны, Firewall можно разработать так, чтобы предотвратить получение конфиденциальных данных внешними нарушителями, однако, Firewall не запрещает внутренним пользователям копировать данные на магнитную ленту или выводить их на печатающие устройства. Таким образом, было бы ошибкой полагать, что наличие Firewall обеспечивает защиту от внутренних атак или вообще атак, для которых не требуется использование Firewall.

Кроме вышеперечисленных, укажем еще некоторые вопросы и проблемы, связанные с Firewall:

WWW, gopher — Более поздние версий информационных серверов и клиентов для WWW, gopher, WAIS и др., не были предназначены для использования Firewall-методик из-за своей новизны и обычно считаются рискованными. Существует возможность атак, при которых данные, обрабатываемые клиентами, могут содержать инструкции для выполнения. В этих инструкциях клиенту может быть рекомендовано внести изменения в файлы управления доступом и другие важные для обеспечения безопасности хоста файлы.

MBONE — Групповые сообщения IP (MBONE) для передачи изображения и звука инкапсулируются в других пакетах. Firewall, как правило, передает пакеты, не просматривая их содержимое. Передачи MBONE представляют собой потенциальную угрозу в том случае, если пакеты содержат команды изменения параметров системы контроля безопасности, что позволит нарушителю вторгнуться в сеть.

вирусы — Firewall не защищают от загрузки пользователями зараженных вирусами программ из архивов Internet или от передачи таких программ через электронную почту. Поскольку эти программы можно каким угодно способом закодировать или сжать, у Firewall нет возможности проверить их на предмет наличия сигнатур вирусов. Проблема вирусов все еще существует, но она должна решаться с помощью других методик и антивирусного контроля.

пропускная способность — Firewall представляют собой потенциально узкое место, поскольку все соединения должны осуществляться только через него, а в некоторых случаях еще и подвергаться фильтрации. Однако, на сегодняшний день это, в общем случае не является проблемой, поскольку Firewall могут передавать данные на скорости Т1 (1,5 Мбит/сек), а большинство сетей Internet имеют скорости соединения не больше Т1.

возможность общего риска — В Firewall все средства безопасности сосредоточены в одном месте, а не распределены между системами. Компрометация Firewall ведет к нарушению безопасности для других, менее защищенных систем. Однако, этот недостаток можно устранить, полагая, что чем больше будет систем в подсети, тем скорее будут обнаружены все упущения в безопасности. Несмотря на эти недостатки NIST настоятельно рекомендует, чтобы объекты защищали свои ресурсы с помощью Firewall и других средств и методик безопасности.