令包过滤方式的优点是不用改动客户机和主机上的应 用程序,因为它工作在网络层和传输层.与应用层 无关。 今但其弱点也是明显的: 令过滤判别的依据只是网络层和传输层的有限信息, 因而各种安全要求不可能充分满足:在许多过滤器 中,过滤规则的数目是有限制的,且随着规则数目 增加,性能会受到很大地影响:由于缺少上下文 关联信息,不能有效地过滤如UDP、RPC(远程过程 调用)一类的协议;另外,大多数过滤器中缺少审 计和报警机制,它只能依据包头信息,而不能对用 户身份进行验证,很容易受到“地址欺骗型”攻击。❖ 包过滤方式的优点是不用改动客户机和主机上的应 用程序，因为它工作在网络层和传输层，与应用层 无关。 ❖ 但其弱点也是明显的： ❖ 过滤判别的依据只是网络层和传输层的有限信息， 因而各种安全要求不可能充分满足；在许多过滤器 中，过滤规则的数目是有限制的，且随着规则数目 的增加，性能会受到很大地影响；由于缺少上下文 关联信息，不能有效地过滤如UDP、RPC（远程过程 调用）一类的协议；另外，大多数过滤器中缺少审 计和报警机制，它只能依据包头信息，而不能对用 户身份进行验证，很容易受到“地址欺骗型”攻击