63防火墙 路由器包过滤安全机制主要是在网络层实现 对分组的过滤功能,路由器在对数据包进行筛 选时,往往缺乏被过滤数据包所在上下文环境 的知识(例如,该数据包是属于哪个应用连接 的?),因此过滤的针对性不强,过滤策略缺 乏全局性依据,这是路由器安全过滤机制的主 要缺陷。本节将考虑可以根据数据包所处的应 用数据流对分组进行过滤,从全局角度设计报 文过滤规则,提高了报文过滤的准确性,可以 有效阻止非法的应用数据流的通过,因而更具 有安全性。6.3 防火墙 ➢路由器包过滤安全机制主要是在网络层实现 对分组的过滤功能，路由器在对数据包进行筛 选时，往往缺乏被过滤数据包所在上下文环境 的知识（例如，该数据包是属于哪个应用连接 的？），因此过滤的针对性不强，过滤策略缺 乏全局性依据，这是路由器安全过滤机制的主 要缺陷。本节将考虑可以根据数据包所处的应 用数据流对分组进行过滤，从全局角度设计报 文过滤规则，提高了报文过滤的准确性，可以 有效阻止非法的应用数据流的通过，因而更具 有安全性