数据包过滤路由器

包过滤模型

包过滤检查模块

深入到系统的网络层和数据链路层之间

因为数据链路层是事实上的网卡（NIC），网络层是第一层协议堆栈，所以防火墙位于软件层次的最底层。

通过检查模块，防火墙能拦截和检查所有出站的数据。

设置步骤

制订一个安全策略，规定哪些是允许的，哪些是不允许的；

设定允许的包类型、包字段的逻辑表达；

用防火墙支持的语法重写表达式；

• 按地址过滤

• 按服务过滤
  比如禁止外部主机访问内部的E-mail服务器

包过滤防火墙的优点

• 仅一个关键位置设置一个数据包过滤路由器，就可以保护整个网络，而且数据包过滤对用户是透明的。
• 对网络管理员和应用程序的透明度较高。网络管理员只需根据一张常用服务与协议(端口)的对应表，就可以方便地设置过滤规则，而无需了解具体的过滤技术细节。内部网络或者外部网络的服务也无需进行修改，就可以达到控制进出数据包的目的。
• 由于工作在较低的层面（网络层），多数的路由器都具有包过滤功能，网络管理员可以方便地在路由器中实现包过滤。实现容易，而且效率较高

包过滤防火墙的优点

• 包过滤规则比较复杂，缺乏规则的正确性自动检测工具；
• 无法查出具有数据驱动攻击这类潜在危险数据包；
• 过滤规则的增加会导致分析计算量的增加，从而降低路由器的吞吐量，影响网络性能；
• 抗欺骗性能力不强
• 不能有效应对伪造IP地址的攻击

包状态检查

与包过滤的对比

• 在包过滤中，检测只对单一的数据包进行；
• 包状态检查中，检测针对一定数量的数据包进行，这些数据包是在网络层拦截的，数量的多少取决于包状态检查模块有足够信息判定连接的安全性。

与应用层代理的对比

• 工作在网络层，所以比应用层代理具有更快的速度。
• 包状态检查无法理解应用层的内容，难以收集到足够的安全信息，作出更好的判断和选择，这决定它无法达到应用层网关的安全系数。