信息安全学习总结8-防火墙实现技术.docVIP

（八）防火墙的实现技术 作者：山石 数据包过滤 概述 数据包过滤，通俗的理解就是在网络当中的适当位置，对数据包实施有选择的通过。数据包过滤技术是一种简单的、高效的安全控制技术，是防火墙发展初期的普遍采用的技术。 依据在系统内设置的过滤规则（通常称为访问控制表——Access Control List），对数据流中每个数据包包头中的参数或它们的组合进行检查，以确定是否允许该数据包进去内部网络。系统在网络层检测数据包，而与应用层无关。 包过滤检查的内容包括：IP源地址、IP目的地址、协议类型（TCP包\UDP包\ICMP包）、TCP或UDP的源端口、TCP或UDP的目的端口、ICMP消息类型、TCP报头中的ACK位。 图1 数据包过滤应用位置 工作原理 图2 包过滤工作原理 对进出的数据包逐个过滤，丢弃或允许通过 ACL应用于接口上，每个接口的出入双向分别过滤 仅当数据包经过接口时，才能被此接口的此方向的ACL过滤 图3 入站包过滤工作流程 图4 出站包过滤工作流程 优缺点 （1）优点 逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好。 （2）缺点 安全控制的力度只限于地址、目的地址和端口号等，不能保存与传输或应用相关的状态信息，因而只能进行较为初步的安全控制，安全性较低。 数据包的源地址、目的地址及端口号等都在数据包的头部，很有可能被窃听或假冒。 代理服务 概述 代理服务器的功