九系统安全性计算机操作系统修订版汤子瀛.pptVIP

图 9 – 18 利用过滤规则对数据进行检查 第96页/共109页 从图9 - 18 可以看出，当第一个数据包进入包过滤器时，由于该包是要访问公司网络中的1号子网，根据规则D而被拒绝；数据包2是要访问公司网中的6号子网，根据规则C而被允许访问；数据包3同样要访问6号子网，根据规则B也被允许访问；而数据包4根据规则D被拒绝；此外，第5个数据包的报文是来自于网络的，根据规则E也被拒绝。注意， 在利用过滤规则对数据包进行检查时，应按先A、B、C后D的次序， 依次用各规则进行检查，次序颠倒将会出现错误。 这是因为规则D和E本身是有前提的，只有在依次用A、B、 C规则检查之后，亦即先将135.79网络中的30、 32、 36号子网排除在外，再执行规则D检查(这时因为第4包中的源子网地址1.1是属于D规则中的其余子网的，因而是不被允许通行的)才不会出错。同样，也应当在执行A、B、C、D的检查之后， 再执行E规则。 第97页/共109页 2. 包过滤防火墙的优缺点 有效灵活。 (2) 简单易行。 防火墙机制本身存在固有的缺陷： 不能防止假冒。 (2) 只在网络层和传输层实现。 (3) 缺乏可审核性。 (4) 不能防止来自内部人员造成的威胁。 第98页/共109页 9.5.2 代理服务技术 1. 代理服务的基本原理 为