包过滤防火墙技术的基本原理

包过滤防火墙技术常常在路由器上完成。包过滤防火墙技术的原理是系统在网络层检测数据包，与应用层无关。包过滤防火墙技术具有优良的传输功能和强大的可扩充性。可是，包过滤防火墙的安全性存在一些瑕疵，原因是系统不知道应用程序层信息，即防火墙不知道通信内容，所以可以被黑客破坏。包过滤防火墙技术在网络层运作，具有辨别和操纵数据包的源IP和目的IP的职能。关于传输层，它只能辩别数据包是TCP还是UDP以及所使用的端口信息。当前的路由器，交换路由器和某些操作系统已经具有运用数据包筛选器进行控制的本领。所以仅需要解析IP，TCP / UDP和数据包的端口，因此包过滤防火墙的运行速度快且容易配置。然而，包过滤防火墙技术具有以下瑕疵：一、没有针对黑客的手段。包过滤防火墙技术基于以下条件：网络管理器明白哪些IP是可信网络，哪些是不可信任网络的IP。然而，随着诸如远程办公室之类的新应用程序的涌现。网络管理器不能够分辩可信网络和不可信任网络之间的界线。对黑客来说，他们可以通过将源IP数据包转换为合法IP来轻松地通过包过滤防火墙。二、不支持应用层协议。假如Intranet用户发出此请求，则仅需承诺Intranet员工访问Extranet网页（利用HTTP），并且不许可从Extranet下载（常常运用FTP）。包过滤防火墙无能为力，由于无法辩别数据包中的应用层协议，并且访问控制的方法太粗劣。三、无法应对新的威胁。它无法跟踪TCP状态，所以TCP层的控制中存在漏洞。例如，当将其配置为仅允许从内部到外部的TCP访问时，以TCP响应数据包的形式从外部对内部网络的某些攻击仍然可以穿透防火墙。总而言之，包过滤防火墙技术方面太基础了，就像安全警卫只能按照访客来自哪个省或市来确定是否允诺访客进入，并且很难执行其职责。保护Intranet的安全性。

转载于天翼云，如有侵权，请联系删除，谢谢