【NGAF】有朋友在问有防火墙的情况下为什么还要用数据库安全扫描系统？

我们不妨来看看下面的介绍：

第一、防火墙防不住绕过防火墙的攻击。比如，防火墙不限制从内部网络到外部网络的连接，那么，一些内部用户可能形成一个直接通往Internet的连接，从而绕过防火墙，造成一个潜在的“后门”。恶意的外部用户直接连接到内部用户的机器上，以这个内部用户的机器为跳板，发起绕过防火墙的不受限制的攻击。

第二、防火墙无法解决TCP/IP等协议的漏洞。防火墙本身就是基于TCP/IP等协议来实现的，就无法解决TCP/IP操作的漏洞。比如利用DOS或DDOS攻击。

第三、防火墙对数据驱动式攻击也无能为力 (即大量合法的数据包导致网络阻塞而使正常通信瘫痪) 。
第四、防火墙对服务器合法开放的端口的攻击大多无法阻止。例如利用开放了3389端口取得没打过sp补丁的win2k的超级权限、利用asp程序进行脚本攻击等。由于其行为在防火墙一级看来是"合理"和"合法"的，因此就被简单地放行了。
第五、防火墙不能防止本身安全漏洞的威胁。防火墙保护别人有时却无法保护自己，因为目前还没有厂商绝对保证防火墙不会存在安全漏洞。防火墙也是一个OS，也有着其硬件系统和软件，因此依然有着漏洞和bug。所以其本身也可能受到攻击和出现软/硬件方面的故障。

学习一下

总结得很好，看起来楼主对防火墙有一定的研究，哈！

社区原创分享计划活动正在进行，欢迎来投稿！
了解奖励和投稿要求，请参考：https://bbs.sangfor.com.cn/forum ... read&tid=103115

第四条学习了

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~