|
|
|
|
|
|
|
|
数据包过滤对用户透明
不像在后面描述的代理(Proxy),数据包过滤不要求任何自定义软件或者客户机配置,它也不要求用户任何特殊的训练或者操作。当数据包过滤路由器决定让数据包通过时,它与普通路由器没什么区别。比较理想的情况是:甚至用户将没有认识到它的存在,除非他们试图做过滤规则中所禁止的事。较强的“透明度”是包过滤的一大优势。
* 过滤路由器速度快、效率高
较Proxy而言,过滤路由器只检查报头相应的字段,一般不查看数据报的内容,而且某些核心部分是由专用硬件实现的,故其转发速度快、效率较高。
包过滤的缺点:
* 不能彻底防止地址欺骗
大多数包过滤路由器都是基于源IP地址、目的IP地址而进行过滤的。而IP地址的伪造是很容易、很普遍的。过滤路由器在这点上大都无能为力。即使按MAC地址进行绑定,也是不可信的。对于一些安全性要求较高的网络,过滤路由器是不能胜任的。
* 一些应用协议不适合于数据包过滤
即使是完美的数据包过滤实现,也会发现一些协议不很适合于经由数据包过滤安全保护。如RPC、X- Window和FTP。而且,服务代理和HTTP的链接,大大削弱了基于源地址和源端口的过滤功能。
 页码:[1] [2] [3] [4] [5] [6] [7] [8] 第2页、共8页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
