這次是介紹防火牆的先天性缺陷
很多人以為有了防火牆就能防毒防駭防木馬 <- 嚴重錯誤觀念
事實上沒那麼好用
在單一使用者狀況下還很ok
在多重網路環境下, 防火牆其實就像是狂嵐中的一葉扁舟般搖搖欲墜
下面是節錄自http://tech.ccidnet.com/pub/article...a137466_p1.html

防火牆的局限性和脆弱性
防火牆是指設置在不同網路（如可信任的企業內部網和不可信的公共網）或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間資訊的唯一出入口，能根據企業的安全政策控制（允許、拒絕、監測）出入網路的資訊流，且本身具有較強的抗攻擊能力。它是提供資訊安全服務、實現網路和資訊安全的基礎設施，但是它也存在局限性。

1、防火牆不能防範不經過防火牆的攻擊。沒有經過防火牆的資料，防火牆無法檢查，比如撥號上網。

2、防火牆不能解決來自內部網路的攻擊和安全問題。"外緊內松"是一般區域網路的特點，一道嚴密防守的防火牆其內部的網路也有可能是一片混亂。如通過社會工程學發送帶木馬的郵件、帶木馬的URL等方式，然後由中木馬的機器主動對攻擊者連接，將瞬間破壞象鐵壁一樣的防火牆。另外，防火牆內部各主機間的攻擊行為，防火牆也只能如旁觀者一樣冷視而愛莫能助。

3、防火牆不能防止最新的未設置策略或錯誤配置引起的安全威脅。防火牆的各種策略，也是在該攻擊方式經過專家分析後給出其特徵進而設置的。如果世界上新發現某個主機漏洞的cracker把第一個攻擊物件選中了您的網路，那麼防火牆也沒有辦法幫到您。

4、防火牆不能防止可接觸的人為或自然的破壞。防火牆是一個安全設備，但防火牆本身必須存在于一個安全的地方。

5、防火牆無法解決TCP/IP等協議的漏洞。防火牆本身就是基於TCP/IP等協議來實現的，就無法解決TCP/IP操作的漏洞。比如利用DOS或DDOS攻擊。

6、防火牆對伺服器合法開放的埠的攻擊大多無法阻止。例如利用開放了3389埠取得沒打過sp補丁的win2k的超級許可權、利用asp程式進行腳本攻擊等。由於其行為在防火牆一級看來是"合理"和"合法"的，因此就被簡單地放行了。

7、防火牆不能防止受病毒感染的檔的傳輸。防火牆本身並不具備查殺病毒的功能，即使集成了第三方的防病毒軟體，也沒有一種軟體可以查殺所有的病毒。

8、防火牆不能防止資料驅動式的攻擊。當有些表面看來無害的資料郵寄或拷貝到內部網的主機上並被執行時，可能會發生資料驅動式的攻擊。

9、防火牆不能防止內部的洩密行為。防火牆內部的一個合法用戶主動洩密，防火牆對此是無能為力的。

10、防火牆不能防止本身安全漏洞的威脅。防火牆保護別人有時卻無法保護自己，因為目前還沒有廠商絕對保證防火牆不會存在安全漏洞。防火牆也是一個OS，也有著其硬體系統和軟體，因此依然有著漏洞和bug。所以其本身也可能受到攻擊和出現軟/硬體方面的故障。