包过滤防火墙

包过滤防火墙是用一个软件查看所流经的数据包的包头header),由此决定整个包的命运。它可能会决定丢弃DROP)这个包,可能会接受ACCEPT)这个包让这个包通过),也可能执行其它更复杂的动作。在Linux系统下,包过滤功能是内建于核心的作为一个核心模块,或者直接内建),同时还有一些可以运用于数据包之上的技巧,不过最常用的依然是查看包头以决定包的命运。

入选理由

一些包过滤网关不支持有效的用户认证。规则表很快会变得很大而且复杂,规则很难测试。随着表的增大和复杂性的增加,规则结构出现漏洞的可能 性也会增加。这种防火墙最大的缺陷是它依赖一个单一的部件来保护系统。如果这个部件出现了问题,会使得网络大门敞开,而用户其至可能还不知道。在一般情况下,如果外部用户被允许访问内部主机,则它就可以访问内部网上的任何主机。包过滤防火墙只能阻止一种类型的IP欺骗,即外部主机伪装内部主机的IP,对于外部主机伪装外部主机的IP欺骗却不可能阻止,而且它不能防止DNS欺骗。

历史轨迹

1994年 coming from BSD, 内核2.0,工具ipfwadm

1998年 based on the ipfw, 内核 2.2,工具ipchains

1999年 based on the ipchains, 内核2.3.15~2.4, 工具iptables


共13页: 上一页12345678910111213下一页

相关内容

    暂无相关文章