包过滤防火墙的缺点 通信信息:包过滤防火墙只能访问部分数据包的头信息; 应用状态信息:包过滤防火墙是无状态的,所以它不可 能保存来自于通信和应用的状态信息 ■信息处理:包过滤防火墙处理信息的能力是有限的。允 许数据包直接通过,容易造成数据驱动式攻击的潜在危 险 比如针对微软IS漏洞的 Unicode攻击,因为这种攻击是 走的防火墙所允许的80端口,而包过滤的防火墙无法对 数据包内容进行核査,因此此时防火墙等同于虚设,未 打相应 patch的提供web服务的系统,即使在防火墙的屏 障之后,也会被攻击者轻松拿下超级用户的权限9 包过滤防火墙的缺点 ◼ 通信信息：包过滤防火墙只能访问部分数据包的头信息； ◼ 应用状态信息：包过滤防火墙是无状态的，所以它不可 能保存来自于通信和应用的状态信息； ◼ 信息处理：包过滤防火墙处理信息的能力是有限的。允 许数据包直接通过，容易造成数据驱动式攻击的潜在危 险。 比如针对微软IIS漏洞的Unicode攻击，因为这种攻击是 走的防火墙所允许的80端口，而包过滤的防火墙无法对 数据包内容进行核查，因此此时防火墙等同于虚设，未 打相应patch的提供web服务的系统，即使在防火墙的屏 障之后，也会被攻击者轻松拿下超级用户的权限