就是要花钱买。

  防火墙技术的致命弱点在于数据在防火墙之间的更新是一个难题，如果延迟太大将无法支持实时服务请求。额外的管理负担是另外一个弱点。
"绝对安全 "的防火墙是不存在的。但是可以在现有经济条件下尽可能科学的配置各种防御措施，使防火墙充分地发挥作用。

传统防火墙由于被部署在网络边界而被称为边界防火墙。边界防火墙在企业内部网和外部互联网之间构成一道屏障，负责进行网络存取控制。随着网络安全技术的深入发展，边界防火墙逐渐暴露出一些弱点，具体表现在以下几个方面。

受网络结构限制 边界防火墙的工作机理依赖于网络的拓扑结构。随着越来越多的用户利用互联网构架跨地区企业网络，移动办公和服务器托管日益普遍，加上电子商务要求商务伙伴之间在一定权限下可以彼此访问，企业内部网和网络边界逐渐成为逻辑上的概念，边界防火墙的应用也受到越来越多的限制。

内部不够安全 边界防火墙设置安全策略是基于这样一个基本假设: 企业网外部的人都是不可信的，而企业网内部的人都是可信的。事实上，接近80%的攻击和越权访问来自于企业网内部，边界防火墙对于来自企业网内部的攻击显得力不从心。

效率不高与故障点多 边界防火墙把检查机制集中在网络边界的单点上，由此造成网络访问瓶颈，并使得用户在选择防火墙产品时首先考虑检测效率，其次才是安全机制。安全策略过于复杂也进一步降低了边界防火墙的效率。为了满足不同应用需求，边界防火墙不得不在效率和安全策略之间采取折中方案，故而留下许多安全隐患。此外，边界防火墙本身也存在单点故障危险，一旦出现问题或被黑客攻克，整个企业网络就会完全暴露在攻击者面前。

实现防火墙的技术包括四大类：网络级防火墙（也叫包过滤型防火墙）、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长，搂主具体说的是哪一种或是否混合使用的弱点？

加了墙要想进去就是麻烦点,要让他保护的服务器死就用DOS或DDOS

引用:

下面是引用elx于2005-07-19 03:11发表的:
加了墙要想进去就是麻烦点,要让他保护的服务器死就用DOS或DDOS

我都被DOS或DDOS玩怕了，目前难道就没有彻底的解决办法吗？

郁闷

引用:

下面是引用dawnshellcn于2004-12-17 15:11发表的:
防火墙的主要是串在链路上做包过滤，高层过滤，阻断恶意连接用的

ids是被动的，防火墙是主动的，这两个东西没什么可比性啊

可以讲讲ids是被动的特性吗？？谢谢