什么是包過濾防火墻�?包過濾防火墻又稱作網(wǎng)絡(luò)級防火墻,工作于OSI(Open System Interconnect��,開放式系統(tǒng)互連)模型的網(wǎng)絡(luò)層(即第4層)���,通過檢查每個(gè)數(shù)據(jù)包的IP地址,采用通信協(xié)議和端口號等來判斷是否允許放行�����。
防火墻將提取的內(nèi)部狀態(tài)信息與其連接狀態(tài)表進(jìn)行比較���,如果符合其中的某一條規(guī)則���,就允許數(shù)據(jù)通過;如果沒有符合任何規(guī)則,就會使用默認(rèn)規(guī)則進(jìn)行處理(一般情況下,默認(rèn)規(guī)則就是丟棄該包)���。因此��,只要定義欲禁止的應(yīng)用程序所使用的TCP(Transmission Control Protocol�����,傳輸控制協(xié)議)或UDP(UserDatagram Protocol��,用戶數(shù)據(jù)報(bào)協(xié)議)端口號���,就能阻擋該應(yīng)用程序或網(wǎng)絡(luò)服務(wù),不允許其建立特定的連接�。
不過,對于那些使用動態(tài)端口的應(yīng)用程序或網(wǎng)絡(luò)服務(wù)而言���,這種過濾方式就會發(fā)生一些問題�����。由于防火墻不知道哪些端口需要打開�,而用戶又必須使用該服務(wù)��,這就不得不將所有可能用到的端口都打開,而這個(gè)范圍可能會較大或非常大���,從而給黑客以可乘之機(jī)��。由此��,某些防火墻采用動態(tài)包過濾技術(shù)���,通過檢查應(yīng)用程序信息,判斷哪些端口需要臨時(shí)打開�����。當(dāng)傳輸結(jié)束以后�,這些端口又馬上恢復(fù)為關(guān)閉狀態(tài)。
網(wǎng)絡(luò)級防火墻的優(yōu)點(diǎn)是速度快��、費(fèi)用低�、對用戶透明�����。但是其缺點(diǎn)也很突出���,即對網(wǎng)絡(luò)的保護(hù)很有限��,因?yàn)樗粰z查地址和端口���。
溫馨提示:
