再谈防火墙及防火墙的渗透(7)

　　软件防火墙一般基于某个操作系统平台开发，直接在计算机上进行软件的安装和配置。由于客户平台的多样性，软件防火墙需支持多操作系统，如Unix、Linux、SCO-Unix、Windows等，代码庞大、安装成本高、售后支持成本高、效率低。

　　1、性能优势。防火墙的性能对防火墙来说是至关重要的。它决定了每秒钟通过防火墙的数据流量。单位是Bps，从几十M到几百M不等，还有千兆防火墙甚至达到几G的防火墙。而软件防火墙则不可能达到如此高的速率。

　　2、CPU占用率的优势。硬件防火墙的CPU占用率当然是0了，而软件防火墙就不同了，如果处于节约成本的考虑将防火墙软件安装在提供服务的主机上，当数据流量较大时，CPU占用率将是主机的杀手，将拖跨主机。

　　3、售后支持。硬件防火墙厂家会对防火墙产品有跟踪的服务支持，而软件防火墙的用户能得到这种机会的相对较少，而且厂家也不会在软件防火墙上下太大的功夫和研发经费。

　　------------------------------------------------------------

　　（二）防火墙渗透

　　以上我们简单的介绍了防火墙的原理，分类，优缺点等。下面，我们将对防火墙的渗透技术做一下简单的介绍。

　　精心配置过的防火墙固然将让绝大多数crackers挡在外围，掌握网络控制的主动权，但是，防火墙并不是万能的，我们也在上一节的内容中简单的讲了防火墙的缺点。没有任何一样网络产品可以说是绝对安全的。绿盟的san的一篇的文章介绍了渗透防火墙的shellcode,有兴趣的朋友可以参考一下：http://www.winnerinfo.net/infoview.asp?Kind=145&ID=529，我在这里想再提起“通道技术”。

　　说到通道技术，我想再提一下“端口复用”，很多朋友以为通道技术就是端口复用技术。那么，错了，端口复用是指一个端口上建立了多个连接，而不是在一个端口上面开放了多个服务而互不干扰。假如你想在已经开放了WWW服务的主机上，在80端口再添加一项服务，只有2种可能：1.添加服务失败 2.WWW服务出错。那么什么是通道呢？这里所谓的通道，是指一种绕过防火墙端口屏蔽的通讯方式。防火墙两端的数据包封装在防火墙所允许通过的数据包类型或是端口上，然后穿过防火墙与处在防火墙后面的主机通讯，当封装的数据包到达目的地时，再将数据包还原，并将还原后的数据包交送到相应的服务上，是在一个端口上面开放了多个服务而互不干扰的。