漏洞。防火墙的并发连接数限制容易导致拥塞或者溢出。而当防火墙溢出的时候，整个防线就如同虚设，原本被禁止的连接也能从容通过了；防火墙对待内部主动发起连接的攻击一般无法阻止；防火墙本身也会出现问题和受到攻击；防火墙不处理病毒。普通防火墙虽然扫描通过他的信息，但一般只扫描源地址、目的地址端
口号，不扫描数据的确切内容，对于病毒来说，防火墙不能防范。防火墙是一种静态的安全技术需要人工来实施和维护不能主动跟踪入侵者。综合以上可以看出，防火墙是网络安全的重要一环，但不代表设置了防火墙就能一定保证网络的安全。入侵攻击已经见怪不怪，对付这些入侵者的攻击，可以通过身份鉴别技术，使用严格的访问控制技术，还可以对数据进行加密保护等，但这并不完全可行。所以静态安全措施并不足以保护安全对象。因此，一种动态的方法是必要的。比如行为跟踪、入侵检测技术。但是，完全防止入侵目前看是不现实的。人们可以尽力检测出这些入侵，以便采取措施或者以后修补。（5）简述基于主机的入侵检测系统的优点。基于主机的入侵检测系统优点：能够监视特定的系统活动，可以精确的根据自己的需要定制规则。不需要额外的硬件，HIDS驻留在现有的网络基础设施上，其包括文件服务器、Web服务器和
其它的共享资源等。减少了以后维护和管理硬件设备的负担。适用于被加密的和交换的环境。可以克服NIDS在交换和加密环境中所面临的一些困难。
缺点：依赖于特定的操作系统平台，对不同的平台系统而言，它是无法移植的，因此必须针对各不
同主机安装各种HIDS。在所保护主机上运行，将影响到宿主机的运行性能，特别是当宿主机为服务器的情况；通常
无法对网络环境下发生的大量攻击行为，做出及时的反应。（6）简述基于网络的入侵检测系统的优点与缺点。基于网络的入侵检测系统的优点：成本较低，NIDS系统并不需要在各种各样的主机上进行安装，大大减少了安全和管理的复
f杂性。实时检测和响应，一旦发生恶意访问或攻击，NIDS检测可以随时发现它们，因此能够很快
地作出反应。可监测到未成功或恶意的入侵攻击：一个放在防火墙外面的NIDS可以检测到旨在利用防火
墙后面的资源的攻击。与操作系统无关：并不依赖主机的操作系统作为检测资源，而HIDS需要特定的操作系统才
能发挥作用。缺点：要采集大型网络上的流量并加以分析，往往需要更有效率的CPU处理速度，以及更大的内存
空间。只检查它直接相连的网段的通信，不能检测其他网r