()双宿/多宿主机防火墙()屏蔽主机防火墙()屏蔽子网防火墙(),往往可以用一台过滤路由器()来实现,对所接收的每个数据包做允许/拒绝的决定包过滤型防火墙一般作用在网络层,,确定其是否与某一条包过滤规则匹配过滤规则基于可以提供给转发过程的包头信息,包头信息中包括:源地址、目标地址协议类型(、、等等)源端口、:规则允许该数据包通过,那么该数据包就会按照路由表中的信息被转发规则拒绝该数据包,那么该数据包就会被丢弃如果没有匹配规则,根据系统的设计策略(缺省禁止/缺省允许)::处理数据包的速度比较快(与代理服务器相比)在流量适中并定义较少过滤规则时,:包过滤防火墙的维护比较困难定义数据包过滤器比较复杂,网络管理员需要对各种服务、包头格式、以及每个域的意义有非常深入的理解只能阻止一种类型的欺骗即外部主机伪装内部主机的,对于外部主机伪装其他可信任的外部主机的不能阻止任何直接经过路由器的数据包都有被用做数据驱动式攻击的潜在危险数据驱动式攻击:表面上无害的数据被邮寄或拷贝到内部主机上,但其中包含了一些隐藏的指令,一旦执行能够让主机修改访问控制和与安全有关的文件,:一些包过滤路由器不支持有效的用户认证因为地址是可以伪造的,因此如果没有基于用户的认证,仅通过地址来判断是不安全的不能提供有用的日志,或根本不提供日志随着过滤器数目的增加,路由器的吞吐量会下降包过滤器可能无法对网络上流动的信息提供全面的控制包过滤路由器能够允许或拒绝特定的服务,,但是当主机数增加到一定的程度的时候,仅靠主机安全是不够的没有使用这样的动态地址分配协议10
防火墙体系结构 来自淘豆网m.daumloan.com转载请标明出处.
