包过滤防火墙 包过滤是在IP层实现的,因此,它可以只用路由器完成。包过滤根 据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等 报头信息来判断是否允许包通过。过滤用户定义的内容,如IP地址。 其工作原理是系统在网络层检查数据包,与应用层无关,包过滤器 的应用非常广泛,因为CPU用来处理包过滤的时间可以忽略不计 而且这种防护措施对用户透明,合法用户在进出网络时,根本感觉 不到它的存在,使用起来很方便。这样系统就具有很好的传输性能, 易扩展。但是这种防火墙不太安全,因为系统对应用层信息无感 知——也就是说,它们不理解通信的内容,不能在用户级别上进行 过滤,即不能识别不同的用户和防止IP地址的盗用。如果攻击者把 自己主机的IP地址设成一个合法主机的IP地址,就可以很轻易地通 过包过滤器,这样更容易被黑客攻破。6 包过滤防火墙 ◼ 包过滤是在IP层实现的，因此，它可以只用路由器完成。包过滤根 据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等 报头信息来判断是否允许包通过。过滤用户定义的内容，如IP地址。 其工作原理是系统在网络层检查数据包，与应用层无关，包过滤器 的应用非常广泛，因为CPU用来处理包过滤的时间可以忽略不计。 而且这种防护措施对用户透明，合法用户在进出网络时，根本感觉 不到它的存在，使用起来很方便。这样系统就具有很好的传输性能， 易扩展。但是这种防火墙不太安全，因为系统对应用层信息无感 知——也就是说，它们不理解通信的内容，不能在用户级别上进行 过滤，即不能识别不同的用户和防止IP地址的盗用。如果攻击者把 自己主机的IP地址设成一个合法主机的IP地址，就可以很轻易地通 过包过滤器，这样更容易被黑客攻破