包过滤防火墙
包过滤是指在网络层对每一个数据包进行检查,根据配置的安全策略转发或丢弃数据包。包过滤防火墙的基本原理是:通过配置访问控制列表(ACL, Access Control List)实施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP标识和报文传递的方向等信息。
包过滤防火墙的设计简单,非常易于实现,而且价格便宜。
包过滤防火墙的缺点主要表现以下几点:
随着ACL复杂度和长度的增加,其过滤性能呈指数下降趋势;
静态的ACL规则难以适应动态的安全要求;
包过滤不检查会话状态也不分析数据,这很容易让黑客蒙混过关。例如,攻击者可以使用假冒地址进行欺骗,通过把自己主机IP地址设成一个合法主机IP地址,就能很轻易地通过报文过滤器。
说明:多通道协议,如FTP协议。FTP在控制通道协商的基础上,生成动态的数据通道端口,而后的数据交互主要在数据通道上进行。
