包過濾技術是一種通用、廉價且有效的安全手段,它拒絕接受從未授權的主機發送的TCP/IP包,並拒絕接受使用未授權服務的連接請求。
網絡上的數據都是以“包”為單位進行傳輸的,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口及協議參數等字段。
防火牆過濾檢查通過它的每一個包,按照預先設置的過濾規則過濾數據包。對於不要求在高層(例如應用層)檢查數據的安全策略,應按照安全管理員制定的過濾規則簡單地禁止連接的建立或通過它的數據傳輸。
包過濾技術的優點是簡單實用,實現成本較低,處理速度快且易於維護,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。
但這種工作於網絡層的安全技術對基於應用層的網絡入侵卻無能為力,有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆。
分享到:
閱讀更多 中關村科訊 的文章
