静态包过滤防火墙的优点有哪些
静态包过滤防火墙的优点具体体现在下面几点:
不用改动应用程序:包过滤不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。
一个过滤路由器能协助保护整个网络:数据包过滤的主要优点之一是一个单个的、恰当放置的包过滤路由器有助于保护整个网络。如果仅有一个路由器连接内部与外部网络,不论内部网络的大小、内部拓扑结构如何,通过那个路由器进行数据包过滤,在网络安全保护上就能取得较好的效果。
数据包过滤对用户透明:数据包过滤是在IP层实现的,Internet根本感觉不到它的存在;包过滤不要求任何自定义软件或者客户机配置;它也不要求用户任何特殊的训练或者操作,使用起来很方便。较强的“透明度”是包过滤的一大优势。
过滤路由器速度快、效率高:较Proxy而言,过滤路由器只检查报头相应的字段,一般不查看数据包的内容,而且某些核心部分是由专用硬件实现的,故其转发速度快、效率较高。总之,包过滤技术是一种通用、廉价、有效的安全手段。之所以通用,因为它不针对各个具体的网络服务采取特殊的处理方式;之所以廉价,因为大多数路由器都提供分组过滤功能;之所以有效,因为它能很大程度地满足企业的安全要求。
静态包过滤防火墙的缺点如下:
不能彻底防止地址欺骗。大多数包过滤路由器都是基于源IP地址、目的IP地址而进行过滤的。而数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒(IP地址的伪造是很容易、很普遍的),如果攻击者把自己主机的IP地址设成一个合法主机的IP地址,就可以很轻易地通过报文过滤器。所以,包过滤最主要的弱点是不能在用户级别上进行过滤,即不能识别不同的用户和防止IP地址的盗用。过滤路由器在这点上大都无能为力。即使按MAC地址进行绑定,也是不可信的。对于一些安全性要求较高的网络,过滤路由器是不能胜任的。
正常的数据包过滤路由器无法执行某些安全策略。数据包过滤路由器上的信息不能完全满足用户对安全策略的需求。例如,数据包的报头信息只能说数据包来自什么主机,而不是什么用户;数据包到什么端口,而不是到什么应用程序。这就存在着很大的安全隐患和管理控制漏洞。
安全性较差:过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大的影响:由于缺少上下文关联信息,不能有效地过滤如UDP、RPC一类的协议;非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;大多数过滤器中缺少审计和报警机制,通常它没有用户的使用记录。这样,管理员就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的,他们在这一方面已经积累了大量的经验。
数据包工具存在很多局限性:如数据包过滤规则难以配置,管理方式和用户界面较差;对安全管理人员素质要求高;建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。