@邪恶贝壳
2年前 提问
1个回答
动态包过滤防火墙的缺点
房乐
2年前
动态包过滤防火墙的缺点有以下五点:
无法阻止ip欺骗。
路由器的过滤规则的设置和配置十分复杂。
不支持应用层协议,无法发现基于应用层的攻击。
实施的是静态的、固定的控制,不能跟踪TCP状态只对TCP/IP的头信息进行过滤,而不管包的内容信息。
不支持用户认证,不提供用户的鉴别机制。也允许外部客户和内部主机的直接连接。
动态包过滤防火墙基本原理:
- 动态包过滤防火墙的特征与静态包过滤防火墙的特征非常相似。但多出一项工作,即对外出数据包的身份做一个标记,对相同连接的进入的数据包也被允许通过。也就是说,它捕获了一个“连接”,而不是单个数据包头中的信息。因此,它可以用来处理TCP协议和UDP协议。动态包过滤防火墙工作在传输层,它对已建连接和规则表进行动态维护,因此是动态的和有状态的。典型的动态包过滤防火墙能够感觉到新建连接与已建连接之间的差别。