静态包过滤器的工作原理

静态包过滤防火墙根据流经该设备的数据包地址信息决定是否允许该数据包通过，静态包过滤器的工作原理：

• 过滤内容：源地址、目的地址、源端口、目的端口、应用或协议。

• 若符合规则，则丢弃数据包：如果包过滤器没有发现一个规则与该数据包匹配，那么它将对其施加一个默认规则。

• 过滤位置：可以在网络入口处过滤，也可在网络出口处过滤，还可以在入口和出口同时对数据包进行过滤。

• 访问控制策略：网管员预先编写一个访问控制列表，明确规定哪些主机或服务可接受，哪些主机或服务不可接受。

静态包过滤防火墙的优点：

• 逻辑简单，价格便宜，成本低。

• 对网络性能的影响较小，有较强的透明性。

• 它的工作与应用层无关，无须改动任何客户机和主机上的应用程序，易于安装和使用。

静态包过滤防火墙的缺点：

• 配置基于包过滤方式的防火墙，需要对IP、TCP、UDP、ICMP等各种协议有深入的了解，否则容易出现因配置不当带来的问题。

• 过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不能得到充分满足。

• 由于数据包的地址及端口号都在数据包的头部，不能彻底防止IP地址欺骗。

• 允许外部客户和内部主机的直接连接。

• 不提供用户的鉴别机制。

• 仅工作在网络层，具有较低水平的安全性。