数据包过滤防火墙有两个主要缺点:一是非法访问一旦突破防火 墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地 址、目的地址以及卩的端口号都在数据包的头部,很有可能被窃听或 假冒。 2.应用级网关型防火墙 应用级网关( Application level gateways)是在网络应用层上建立 协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的 数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和 统计,形成报告。应用级网关型防火墙的工作流程示意图请见图82。 响应 应用转发 Internet 应用级网关 转发 请求 图8-2应用级网关型防火墙的工作流程 数据包过滤和应用网关防火墙有一个共同的特点,就是仅仅依靠特 定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的 计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火 墙内部的网络结构和运行状态,这有利于实施非法访问和攻击数据包过滤防火墙有两个主要缺点：一是非法访问一旦突破防火 墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地 址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或 假冒。 2．应用级网关型防火墙 应用级网关(Application Level Gateways)是在网络应用层上建立 协议过滤和转发功能。 它针对特定的网络应用服务协议使用指定的 数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和 统计，形成报告。应用级网关型防火墙的工作流程示意图请见图8-2。 图8-2 应用级网关型防火墙的工作流程 数据包过滤和应用网关防火墙有一个共同的特点，就是仅仅依靠特 定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的 计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火 墙内部的网络结构和运行状态，这有利于实施非法访问和攻击