動態包過濾防火墻的缺點

動態包過濾防火墻的缺點有以下五點：

• 無法阻止ip欺騙。

• 路由器的過濾規則的設置和配置十分復雜。

• 不支持應用層協議，無法發現基于應用層的攻擊。

• 實施的是靜態的、固定的控制，不能跟蹤TCP狀態只對TCP/IP的頭信息進行過濾，而不管包的內容信息。

• 不支持用戶認證，不提供用戶的鑒別機制。也允許外部客戶和內部主機的直接連接。

動態包過濾防火墻基本原理：

• 動態包過濾防火墻的特征與靜態包過濾防火墻的特征非常相似。但多出一項工作，即對外出數據包的身份做一個標記，對相同連接的進入的數據包也被允許通過。也就是說，它捕獲了一個“連接”，而不是單個數據包頭中的信息。因此，它可以用來處理TCP協議和UDP協議。動態包過濾防火墻工作在傳輸層，它對已建連接和規則表進行動態維護，因此是動態的和有狀態的。典型的動態包過濾防火墻能夠感覺到新建連接與已建連接之間的差別。

回答所涉及的環境：聯想天逸510S、Windows 10。