读书频道 > 网站 > 网页设计 > Linux网络安全技术与实现(第2版)
1.6.1 数据包过滤防火墙
12-08-31    叶孤城
收藏    我要投稿   
《Linux网络安全技术与实现(第2版)》首先讨论网络基础架构,然后循序渐进地讲解安全、基于策略的路由、流量控制和虚拟专用网络等知识,带您在网络安全世界中尽情畅游。如果您准备投身Linux网络安全领域,那么这...立即去当当网订购

可以根据过滤技术将防火墙分为两类:其一是数据包过滤(Packet Level Filter)防火墙;其二是应用层(Application Level Filter)防火墙。这两种防火墙在应用上各有优缺点,适用的场景及范围各有不同,下面将说明这两种防火墙的差异及优缺点。

1.6.1 数据包过滤防火墙

以图1-22为例,我们假设这台计算机上共装有两块网卡,并让其扮演路由器的角色。因此,当一个数据包从左边接口进入后,即由路由表引导到右边接口送出,接着,我们在其上运行数据包过滤防火墙的操作,而这个防火墙的位置位于路由表之后。从这个结构我们大概可以知道数据包过滤防火墙每一次执行检查的最小单位是“一个数据包”。

 

图1-22 数据包过滤防火墙

数据包过滤防火墙的优缺点如下:

优点:由于数据包过滤防火墙的检查范围是一个数据包,因此,当一个数据包从左边接口送入后,在防火墙检查其无误之后,该数据包即可从右边接口送出,当然在数据包从右边接口送出之后,就再也与防火墙无关了,因此,数据包过滤防火墙对“内存”及“CPU性能”的要求较低。通常200人以下的企业大约只需要一台Pentium III450及128M的内存就够了,由此可知,数据包过滤防火墙的成本较低。

另一个优点是,数据包过滤防火墙其本身以路由器的形式在网络上工作,因此,数据包过滤防火墙完全与“协议”无关,所以应用范围较广。

缺点:因为数据包过滤防火墙的检查范围只有一个数据包,因此,数据包过滤防火墙无法对连接中的数据进行更精准的过滤操作。比如说,我们无法使用数据包过滤防火墙来检查一封电子邮件中是否带有计算机病毒

点击复制链接 与好友分享!回本站首页
分享到: 更多
您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:1.3 功能
下一篇:1.5 小结
相关文章
图文推荐
JavaScript网页动画设
1.9 响应式
1.8 登陆页式
1.7 主题式
排行
热门
文章
下载
读书

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训
版权所有: 红黑联盟--致力于做最好的IT技术学习网站