客户机和主机应用程序做出修改,因为它们只在IP和TCP层工作,与应用层无关。
但是,在安全性方面它的缺陷很明显,它只是将IP层和TCP层的地址、端口号和TCP标志等信息作为判定过滤与否的惟一依据,并没有对其他安全需求做出说明,因此路由器不能对通过高层协议进行的攻击实现有效的检测。另外,对一些协议,如UDP(没有TCP标志位ACK)和远程程序调用(RPC)很难进行过滤。路由器防范入侵的主要措施是根据系统要求确定路由规则,设计包过滤访问列表(ACL)。能否达到安全性取决于网管员对通信协议和行为的高水平理解。
此外,在许多包过滤器的实现中,过滤规则的数量受到一定限制,随着规则数目的提高,需用额外的方法对附加规则进行处理,因此相应的成本会提高。路由器的另一个缺点是在许多包过滤实施中缺乏审计和报警装置。
总之,多数路由器采用静态分组过滤来控制网络信息传输,它适用于对安全要求不高的场合。实际应用中,与防火墙结合可达到更安全的效果。
防火墙技术
目前,保护网络安全主要的手段之页码:[1] [2] [3] [4] [5] [6] 第2页、共6页 |
