(4)利用商用过滤路由器本身提供的语法规 则,可以将按用户要求的不同而将各种不 同过滤任务重新设置,经过编译、调试正 确后再应用于网络上
• (4) 利用商用过滤路由器本身提供的语法规 则,可以将按用户要求的不同而将各种不 同过滤任务重新设置,经过编译、调试正 确后再应用于网络上
2、包过滤器的缺点 过滤路由器虽然具有简单、工作对用户完全透明 等优点,但它由于是工作在网络层这一特点,就 决定着它自身有着无法弥补的缺点。 (1)过滤路由器的过滤规则的制定和实施很麻烦 费时,而且必须根据网络新情况的变化,不断地 对其过滤规则进行补充和修改。不仅如此,没有 套标准的测试工具能够测试其过滤规则的正确 性与完备性、其过滤性能、还有没有其他的漏洞 等,这些基本上取决于网络管理员的经验和素质, 因而对网络管理人员要求较高
2、包过滤器的缺点 • 过滤路由器虽然具有简单、工作对用户完全透明 等优点,但它由于是工作在网络层这一特点,就 决定着它自身有着无法弥补的缺点。 • (1) 过滤路由器的过滤规则的制定和实施很麻烦、 费时,而且必须根据网络新情况的变化,不断地 对其过滤规则进行补充和修改。不仅如此,没有 一套标准的测试工具能够测试其过滤规则的正确 性与完备性、其过滤性能、还有没有其他的漏洞 等,这些基本上取决于网络管理员的经验和素质, 因而对网络管理人员要求较高
(2)因为类似UDP和RPC这样的网络服务采 用动态分配端口,过滤路由器对这一类服 务难以过滤。 (3)在许多过滤路由器的实施中没有审核和 报警功能,仅仅简单地按照过滤规则,对 发送来的数据进行取舍
• (2) 因为类似UDP和RPC这样的网络服务采 用动态分配端口,过滤路由器对这一类服 务难以过滤。 • (3) 在许多过滤路由器的实施中没有审核和 报警功能,仅仅简单地按照过滤规则,对 发送来的数据进行取舍
(4)使用包过滤路由器作为防火墙另一个主要 缺点是无法察觉网络上的攻击,因为路由器 只有很少甚至没有日志记录或打印能力。过 滤路由器往往没有身份验证功能,不能防范 如P地址欺骗之类的典型网络攻击手段。 运行在网络层或应用层的防火墙具有应用层 功能的全部信息,而且其判决是基于应用层 功能,因而能克服包过滤器所具有的大部分 不足之处
• (4) 使用包过滤路由器作为防火墙另一个主要 缺点是无法察觉网络上的攻击,因为路由器 只有很少甚至没有日志记录或打印能力。过 滤路由器往往没有身份验证功能,不能防范 如IP地址欺骗之类的典型网络攻击手段。 • 运行在网络层或应用层的防火墙具有应用层 功能的全部信息,而且其判决是基于应用层 功能,因而能克服包过滤器所具有的大部分 不足之处
应用协议的包过滤 设计包过滤规则时,应该了解要被过滤的 应用服务的行为特性。例如FTP等一些应用 需要回呼(Cl-Back)机制。在回呼机制 中,外部主机可能需要初始化一个到内部 主机端口的连接,但该端口在指定包过滤 规则时是不能预先知道的
三、 应用协议的包过滤 • 设计包过滤规则时,应该了解要被过滤的 应用服务的行为特性。例如FTP等一些应用 需要回呼(Call-Back)机制。在回呼机制 中,外部主机可能需要初始化一个到内部 主机端口的连接,但该端口在指定包过滤 规则时是不能预先知道的