靜態包過濾防火墻的優點有哪些

靜態包過濾防火墻的優點具體體現在下面幾點：

• 不用改動應用程序：包過濾不用改動客戶機和主機上的應用程序，因為它工作在網絡層和傳輸層，與應用層無關。

• 一個過濾路由器能協助保護整個網絡：數據包過濾的主要優點之一是一個單個的、恰當放置的包過濾路由器有助于保護整個網絡。如果僅有一個路由器連接內部與外部網絡，不論內部網絡的大小、內部拓撲結構如何，通過那個路由器進行數據包過濾，在網絡安全保護上就能取得較好的效果。

• 數據包過濾對用戶透明：數據包過濾是在IP層實現的，Internet根本感覺不到它的存在；包過濾不要求任何自定義軟件或者客戶機配置；它也不要求用戶任何特殊的訓練或者操作，使用起來很方便。較強的“透明度”是包過濾的一大優勢。

• 過濾路由器速度快、效率高：較Proxy而言，過濾路由器只檢查報頭相應的字段，一般不查看數據包的內容，而且某些核心部分是由專用硬件實現的，故其轉發速度快、效率較高。總之，包過濾技術是一種通用、廉價、有效的安全手段。之所以通用，因為它不針對各個具體的網絡服務采取特殊的處理方式；之所以廉價，因為大多數路由器都提供分組過濾功能；之所以有效，因為它能很大程度地滿足企業的安全要求。

靜態包過濾防火墻的缺點如下：

• 不能徹底防止地址欺騙。大多數包過濾路由器都是基于源IP地址、目的IP地址而進行過濾的。而數據包的源地址、目的地址以及IP的端口號都在數據包的頭部，很有可能被竊聽或假冒（IP地址的偽造是很容易、很普遍的），如果攻擊者把自己主機的IP地址設成一個合法主機的IP地址，就可以很輕易地通過報文過濾器。所以，包過濾最主要的弱點是不能在用戶級別上進行過濾，即不能識別不同的用戶和防止IP地址的盜用。過濾路由器在這點上大都無能為力。即使按MAC地址進行綁定，也是不可信的。對于一些安全性要求較高的網絡，過濾路由器是不能勝任的。

• 正常的數據包過濾路由器無法執行某些安全策略。數據包過濾路由器上的信息不能完全滿足用戶對安全策略的需求。例如，數據包的報頭信息只能說數據包來自什么主機，而不是什么用戶；數據包到什么端口，而不是到什么應用程序。這就存在著很大的安全隱患和管理控制漏洞。

• 安全性較差：過濾判別的只有網絡層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規則的數目是有限制的，且隨著規則數目的增加，性能會受到很大的影響：由于缺少上下文關聯信息，不能有效地過濾如UDP、RPC一類的協議；非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊；大多數過濾器中缺少審計和報警機制，通常它沒有用戶的使用記錄。這樣，管理員就不能從訪問記錄中發現黑客的攻擊記錄。而攻擊一個單純的包過濾式的防火墻對黑客來說是比較容易的，他們在這一方面已經積累了大量的經驗。

• 數據包工具存在很多局限性：如數據包過濾規則難以配置，管理方式和用戶界面較差；對安全管理人員素質要求高；建立安全規則時，必須對協議本身及其在不同應用程序中的作用有較深入的理解。

回答所涉及的環境：聯想天逸510S、Windows 10。