咨询热线:025-52216934
寄件邮箱:njmobai@163.com
网站建设包过滤技术
发表日期:2016-5-3 10:31:33      浏览次数:首页 >>知识学堂 >>网络安全常识

包过滤防火墙工作在网络层, 通常基于 Ip数据包的源地址、 目的地址、 源端口和目的端口进行过滤 它的点是效率比较高, 对用户来说是透明的, 用户可能不会感觉到包过滤防火墙的存在, 非他是非法用户被拒绝了  缺点是对于大多数服务和协议不能提供安全保障,无法有效同一 IP地址的不同用户,并且包过滤防火墙难于配置、监控和管理, 不能提供足够的日志和报警。

数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称访问控制列表(Access ControlList, ACL)通过检査数据流中每个数据包的源地址目的地址、 所用的口号和议状态等因素或它们的组合, 来确定是否允许该数据包通过

数据包过滤防火墙逻辑简单,价格便,易于装和使用,网络性能和透明性好,它通装在路由器上路由器是内部网络与1ntemet不可少的备, 因此在原有网络上增加样的防火墙几乎不需要任何额外的费用  数据包过滤防火墙的缺点有两个: _是非法访问旦突破防火墙,即可对主机上的件和配置漏洞进行攻击;二是数据包的源地址、目的地址及 IP的端口号都在数据包的头部,很有可能被窃听假冒 。分组过滤或包过滤是种通用、廉价、有效的安全手段。之所以通用,因为它不针对各个具体的网络服务采取特殊的处理方式; 之所以廉价, 因为大多数路由器都提供分组过滤功能; 之所以有效, 因为它能很大程度地满足企业的安全要求过滤所根据的信息来源于 IP、 TCP或 uDP包头包过滤优点是不用改动客户机和主机上的应用程序, 因为它工作在网络层和传输层, 与应用层无但其弱点也是明显的:用来过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不可能充分满足; 在许多过滤器中, 过滤规则的数目是有限制的, 且随着规则数目的增,性能会受到很大的影响;由于缺少上下文关联信息,不能有效地过滤如 uDP或 RPC 类的协议;另外,大多数过滤器中缺少审计和报机制,且管理方式和用户界面较差;对全管理人员素质要求, 建立安全规则时, 必须对协议本身及其在不同应用程序中的作用· 较深入的理解 因此, 过滤器是和应用网关配合使用, 共同组成防火墙系统。