| |
| 包过滤防火墙一般有一个包检查块(通常称为包过滤器),数据包过滤可以根据数据包头中的各项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问,但无法控制传输数据的内容,因为内容是应用层数据,而包过滤器处在网络层和数据链路层(即TCP和IP层)之间。通过检查模块,防火墙能够拦截和检查所有出站和进站的数据,它首先打开包,取出包头,根据包头的信息确定该包是否符合包过滤规则,并进行记录。对于不符合规则的包,应进行报警并丢弃该包。
|
|
|
| 过滤型的防火墙通常直接转发报文,它对用户完全透明,速度较快。其优点是防火墙对每条传入和传出网络的包实行低水平控制;每个IP包的字段都被检查,例如源地址、目的地址、协议和端口等;防火墙可以识别和丢弃带欺骗性源IP地址的包;包过滤防火墙是两个网络之间访问的唯一来源;包过滤通常被包含在路由器数据包中,所以不需要额外的系统来处理这个特征。缺点是不能防范黑客攻击,因为网管不可能区分出可信网络与不可信网络的界限;不支持应用层协议,因为它不识别数据包中的应用层协议,访问控制粒度太粗糙;不能处理新的安全威胁。
|
|
|
|
|
|
|
|
|
|
|
|
京公网安备 11010502032051号 | 营业执照