包過濾技術與代理服務技術的比較

1. 防火牆技術有包過濾技術和什麼技術

包過濾和應用代理

2. 包過濾技術的局限性

（1）定義包過濾器可能是一項復雜的工作。因為網管員需要詳細地了解Internet各種服務、包頭格式和他們在希望每個域查找的特定的值。如果必須支持復雜的過濾要求的，則過濾規則集可能會變得很長很復雜，並且沒有什麼工具可以用來驗證過濾規則的正確性。
（2）路由器信息包的吞吐量隨過濾器數量的增加而減少。路由器被優化用來從每個包中提取目的IP地址、查找一個相對簡單的路由表，而後將信息包順向運行到適當轉發介面。如果過濾可執行，路由器還必須對每個包執行所有過濾規則。這可能消耗CPU的資源，並影響一個完全飽和的系統性能。
（3）不能徹底防止地址欺騙。大多數包過濾路由器都是基於源IP地址、目的IP地址而進行過濾的，而IP地址的偽造是很容易、很普遍的。
（4）一些應用協議不適合於數據包過濾。即使是完美的數據包過濾，也會發現一些協議不很適合於經由數據包過濾安全保護。如RPC、X- Window和FTP。而且服務代理和HTTP的鏈接，大大削弱了基於源地址和源埠的過濾功能。
（5）正常的數據包過濾路由器無法執行某些安全策略。例如，數據包說它們來自什麼主機，而不是什麼用戶，因此，我們不能強行限制特殊的用戶。同樣地，數據包說它到什麼埠，而不是到什麼應用程序，當我們通過埠號對高級協議強行限制時，不希望在埠上有別的指定協議之外的協議，而不懷好意的知情者能夠很容易地破壞這種控制。
（6）一些包過濾路由器不提供任何日誌能力，直到闖入發生後，危險的封包才可能檢測出來。它可以阻止非法用戶進入內部網路，但也不會告訴我們究竟都有誰來過，或者誰從內部進入了外部網路。

3. 包過濾技術和狀態包檢測技術的異同點

這兩種防火牆的主要區別是，狀態監測系統維護一個狀態表，讓這些系統跟蹤通過版防火牆的全權部開放的連接。而數據包過濾防火牆就沒有這個功能。當通訊到達時，這個系統把這個通訊與狀態表進行比較，確定這個通訊是不是一個已經建立起來的通訊的一部分。

你可能看到數據包過濾防火牆在目前的環境中惟一使用的地方就是面向互聯網的路由器。這些設備通常執行基本的數據包過濾規則以消除明顯的不需要的通訊並且減輕緊跟在這台路由器後面的狀態監測防火牆的工作負荷。

4. 什麼叫包過濾技術

基於協議特定的標准，路由器在其埠能夠區分包和限制包的能力叫包過濾（Packet Filtering）。其專技術原理在於屬加入IP過濾功能的路由器逐一審查包頭信息，並根據匹配和規則決定包的前行或被舍棄，以達到拒絕發送可疑的包的目的。過濾路由器具備保護整個網路、高效快速並且透明等優點，同時也有定義復雜、消耗CPU資源、不能徹底防止地址欺騙、涵蓋應用協議不全、無法執行特殊的安全策略並且不提供日誌等局限性。

5. 什麼是包過濾技術其特點是什麼

包過濾（Packet Filtering）技術：是基於協議特定的標准，路由器在其埠能夠區分包和限制包回的技術。
包過濾答技術的特點
優點 ：對小型的、不太復雜的站點包過濾較容易實現。
缺點：他們很少有或沒有日誌記錄能力，所以網路管理員很難確認系統是否正在被入侵或已經被入侵了。這種防火牆的最大缺陷是依賴一個單一的部件來保護系統。

6. 什麼是包過濾技術其特點是什麼

一、定義：
包過濾（Packet Filtering）技術：是基於協議特定的標准，路由器在其埠能夠區分包和限制包的技術。
基於協議特定的標准，路由器在其埠能夠區分包和限制包的能力叫包過濾（Packet Filtering）。其技術原理在於加入IP過濾功能的路由器逐一審查包頭信息，並根據匹配和規則決定包的前行或被舍棄，以達到拒絕發送可疑的包的目的。過濾路由器具備保護整個網路、高效快速並且透明等優點，同時也有定義復雜、消耗CPU資源、不能徹底防止地址欺騙、涵蓋應用協議不全、無法執行特殊的安全策略並且不提供日誌等局限性。包過濾技術的二、特點
1、優點 ：對小型的、不太復雜的站點包過濾較容易實現。
（1）一個過濾路由器能協助保護整個網路。絕大多數Internet防火牆系統只用一個包過濾路由器；
（2）過濾路由器速度快、效率高。執行包過濾所用的時間很少或幾乎不需要什麼時間，由於過濾路由器只檢查報頭相應的欄位，一般不查看數據報的內容，而且某些核心部分是由專用硬體實現的，如果通信負載適中且定義的過濾很少的話，則對路由器性能沒有多大影響；
（3）包過濾路由器對終端用戶和應用程序是透明的。當數據包過濾路由器決定讓數據包通過時，它與普通路由器沒什麼區別，甚至用戶沒有認識到它的存在，因此不需要專門的用戶培訓或在每主機上設置特別的軟體。
2、缺點及局限性：
他們很少有或沒有日誌記錄能力，所以網路管理員很難確認系統是否正在被入侵或已經被入侵了。這種防火牆的最大缺陷是依賴一個單一的部件來保護系統。

（1）定義包過濾器可能是一項復雜的工作。因為網管員需要詳細地了解Internet各種服務、包頭格式和他們在希望每個域查找的特定的值。如果必須支持復雜的過濾要求的，則過濾規則集可能會變得很長很復雜，並且沒有什麼工具可以用來驗證過濾規則的正確性。
（2）路由器信息包的吞吐量隨過濾器數量的增加而減少。路由器被優化用來從每個包中提取目的IP地址、查找一個相對簡單的路由表，而後將信息包順向運行到適當轉發介面。如果過濾可執行，路由器還必須對每個包執行所有過濾規則。這可能消耗CPU的資源，並影響一個完全飽和的系統性能。
（3）不能徹底防止地址欺騙。大多數包過濾路由器都是基於源IP地址、目的IP地址而進行過濾的，而IP地址的偽造是很容易、很普遍的。
（4）一些應用協議不適合於數據包過濾。即使是完美的數據包過濾，也會發現一些協議不很適合於經由數據包過濾安全保護。如RPC、X- Window和FTP。而且服務代理和HTTP的鏈接，大大削弱了基於源地址和源埠的過濾功能。
（5）正常的數據包過濾路由器無法執行某些安全策略。例如，數據包說它們來自什麼主機，而不是什麼用戶，因此，我們不能強行限制特殊的用戶。同樣地，數據包說它到什麼埠，而不是到什麼應用程序，當我們通過埠號對高級協議強行限制時，不希望在埠上有別的指定協議之外的協議，而不懷好意的知情者能夠很容易地破壞這種控制。
（6）一些包過濾路由器不提供任何日誌能力，直到闖入發生後，危險的封包才可能檢測出來。它可以阻止非法用戶進入內部網路，但也不會告訴我們究竟都有誰來過，或者誰從內部進入了外部網路。

7. 防火牆技術當中，狀態檢測技術與靜態的包過濾技術相比有什麼特點

一、包過濾技術
包過濾防火牆工作在網路層，對數據包的源及目地 IP 具有識別和控製作用，對於傳輸層，也只能識別數據包是 TCP 還是 UDP 及所用的埠信息，如下圖所示。現在的路由器、 Switch Router 以及某些操作系統已經具有用 Packet Filter 控制的能力。
由於只對數據包的 IP 地址、 TCP/UDP 協議和埠進行分析，包過濾防火牆的處理速度較快，並且易於配置。
包過濾防火牆具有根本的缺陷：
1 ．不能防範黑客攻擊。包過濾防火牆的工作基於一個前提，就是網管知道哪些 IP 是可信網路，哪些是不可信網路的 IP 地址。但是隨著遠程辦公等新應用的出現，網管不可能區分出可信網路與不可信網路的界限，對於黑客來說，只需將源 IP 包改成合法 IP 即可輕鬆通過包過濾防火牆，進入內網，而任何一個初級水平的黑客都能進行 IP 地址欺騙。
2 ．不支持應用層協議。假如內網用戶提出這樣一個需求，只允許內網員工訪問外網的網頁（使用 HTTP 協議），不允許去外網下載電影（一般使用 FTP 協議）。包過濾防火牆無能為力，因為它不認識數據包中的應用層協議，訪問控制粒度太粗糙。
3 ．不能處理新的安全威脅。它不能跟蹤 TCP 狀態，所以對 TCP 層的控制有漏洞。如當它配置了僅允許從內到外的 TCP 訪問時，一些以 TCP 應答包的形式從外部對內網進行的攻擊仍可以穿透防火牆。
綜上可見，包過濾防火牆技術面太過初級，就好比一位保安只能根據訪客來自哪個省市來判斷是否允許他（她）進入一樣，難以履行保護內網安全的職責。
二、狀態檢測技術
我們知道， Internet 上傳輸的數據都必須遵循 TCP/IP 協議，根據 TCP 協議，每個可靠連接的建立需要經過 「 客戶端同步請求 」 、 「 伺服器應答 」 、 「 客戶端再應答 」 三個階段，我們最常用到的 Web 瀏覽、文件下載、收發郵件等都要經過這三個階段。這反映出數據包並不是獨立的，而是前後之間有著密切的狀態聯系，基於這種狀態變化，引出了狀態檢測技術。
狀態檢測防火牆摒棄了包過濾防火牆僅考查數據包的 IP 地址等幾個參數，而不關心數據包連接狀態變化的缺點，在防火牆的核心部分建立狀態連接表，並將進出網路的數據當成一個個的會話，利用狀態表跟蹤每一個會話狀態。狀態監測對每一個包的檢查不僅根據規則表，更考慮了數據包是否符合會話所處的狀態，因此提供了完整的對傳輸層的控制能力。
網關防火牆的一個挑戰就是能處理的流量，狀態檢測技術在大為提高安全防範能力的同時也改進了流量處理速度。狀態監測技術採用了一系列優化技術，使防火牆性能大幅度提升，能應用在各類網路環境中，尤其是在一些規則復雜的大型網路上。
任何一款高性能的防火牆，都會採用狀態檢測技術。

8. 防火牆的應用代理技術有哪些

①包過濾技術
其原理在於監視並過濾網路上流入流出的包，拒絕發送那些可疑的包。由於包過濾技術無法有效地區分相同IP地址的不同用戶，安全性相對較差。
②代理服務技術
其原理是在網關計算機上運行應用代理程序，運行時由兩部分連接構成：一部分是應用網關同內部網用戶計算機建立的連接，另一部分是代替原來的客戶程序與伺服器建立的連接。通過代理服務，內部網用戶可以通過應用網關安全地使用Internet服務，而對於非法用戶的請求將予拒絕。代理服務技術與包過濾技術不同之處，在於內部網和外部網之間不存在直接連接，同時提供審計和日誌服務
③網路地址轉換技術
其原理如同電話交換總機，當不同的內部網路用戶向外連接時，使用相同的IP地址(總機號碼)；內部網路用戶互相通信時則使用內部IP地址(分機號碼)。內部網路對外部網路來說是不可見的，防火牆能詳盡記錄每一個內部網計算機的通信，確保每個數據包的正確傳送
④虛擬專用網VPN技術
虛擬專用網(VPN)是區域網在廣域網上的擴展，是專用計算機網路在Internet上的延伸。VPN通過專用隧道技術在公共網路上模擬一條點到點的專線，實現安全的信息傳輸。雖然VPN不是真正的專用網路，但卻能夠實現專用網路的功能。
⑤審計技術
通過對網路上發生的各種訪問過程進行記錄和產生日誌，並對日誌進行統計處理，從而對網路資源的使用情況進行分析，對異常現象進行追蹤監視。
⑥信息加密技術

9. 什麼是包過濾技術其特點是什麼

包過濾技術(IP Filtering or packet filtering) 的原理在於監視並過濾網路上流入流出的IP包，拒絕發送可疑的包。基於協議特定的標准，路由器在其埠能夠區分包和限制包的能力叫包過濾（Packet Filtering）。由於Internet 與Intranet 的連接多數都要使用路由器，所以Router成為內外通信的必經埠，Router的廠商在Router上加入IP 過濾 功能，過濾路由器也可以稱作包過濾路由器或篩選路由器（Packet FilterRouter）。
防火牆常常就是這樣一個具備包過濾功能的簡單路由器，這種Firewall應該是足夠安全的，但前提是配置合理。然而一個包過濾規則是否完全嚴密及必要是很難判定的，因而在安全要求較高的場合，通常還配合使用其它的技術來加強安全性。 常用的優秀的個人防火牆有Norman Personal Firewall、天網防火牆等。
路由器逐一審查數據包以判定它是否與其它包過濾規則相匹配。每個包有兩個部分：數據部分和包頭。過濾規則以用於IP順行處理的包頭信息為基礎，不理會包內的正文信息內容。
包頭信息包括：IP 源地址、IP目的地址、封裝協議(TCP、UDP、或IP Tunnel)、TCP/UDP源埠、ICMP包類型、包輸入介面和包輸出介面。如果找到一個匹配，且規則允許這包，這一包則根據路由表中的信息前行。如果找到一個匹配，且規則拒絕此包，這一包則被舍棄。如果無匹配規則，一個用戶配置的預設參數將決定此包是前行還是被舍棄。
包過濾規則允許Router取捨以一個特殊服務為基礎的信息流，因為大多數服務檢測器駐留於眾所周知的TCP/UDP埠。例如，Telnet Service 為TCP port 23埠等待遠程連接，而SMTP Service為TCP Port 25埠等待輸入連接。如要封鎖輸入Telnet、SMTP的連接，則Router舍棄埠值為23、25的所有的數據包。

10. 包過濾技術特點是什麼

防火牆的一類。傳統的包過濾功能在路由器上常可看到，而專門的防火牆系專統一般屬在此之上加了功能的擴展，如狀態檢測等。它通過檢查單個包的地址，協議，埠等信息來決定是否允許此數據包通過。
包過濾防火牆是最簡單的一種防火牆，它在網路層截獲網路數據包，根據防火牆的規則表，來檢測攻擊行為。包過濾防火牆一般作用在網路層（IP層），故也稱網路層防火牆（Network Lev Firewall）或IP過濾器（IP filters）。數據包過濾（Packet Filtering）是指在網路層對數據包進行分析、選擇。通過檢查數據流中每一個數據包的源IP地址、目的IP地址、源埠號、目的埠號、協議類型等因素或它們的組合來確定是否允許該數據包通過。在網路層提供較低級別的安全防護和控制。