包過濾技術的局限性主要體現在哪幾方面

包過濾技術的局限性主要體現在以下幾方面：

• 難以實現對應用層服務的過濾：由于防火墻不是數據包的最終接收方，僅僅能夠對數據包網絡層和傳輸層信息頭等信息進行分析控制，所以難以了解數據包是由哪個應用程序發起。目前的網絡攻擊和惡意程序往往偽裝成常用的應用層服務的數據包規避包過濾防火墻的檢查。

• 訪問控制列表的配置和維護困難：包過濾技術的正確實現依賴于完備的訪問控制列表，以及訪問控制列表中配置規則的先后順序。在實際應用中，對于一個大型網絡的訪問控制列表的配置和維護將變得非常繁雜。

• 難以詳細了解主機之間的會話關系：包過濾防火墻處于網絡邊界，并根據流經防火墻的數據包進行網絡會話分析，生成會話連接狀態表。由于包過濾防火墻并非會話連接的發起者，所以對網絡會話連接的上下文關系難以詳細了解，容易遭受欺騙攻擊。

• 有些包過濾防火墻缺少審計和報警等安全機制：安全防護是一個系統化工程，需要多種安全防護機制協同工作。

• 定義包過濾器可能是一項復雜的工作：因為網管員需要詳細地了解Internet各種服務、包頭格式和他們在希望每個域查找的特定的值。如果必須支持復雜的過濾要求的，則過濾規則集可能會變得很長很復雜，并且沒有什么工具可以用來驗證過濾規則的正確性。

• 路由器信息包的吞吐量隨過濾器數量的增加而減少：路由器被優化用來從每個包中提取目的IP地址、查找一個相對簡單的路由表，而后將信息包順向運行到適當轉發接口。如果過濾可執行，路由器還必須對每個包執行所有過濾規則。這可能消耗CPU的資源，并影響一個完全飽和的系統性能。

• 不能徹底防止地址欺騙：大多數包過濾路由器都是基于源IP地址、目的IP地址而進行過濾的，而IP地址的偽造是很容易、很普遍的。

• 有的應用協議不適合于數據包過濾：即使是完美的數據包過濾，也會發現一些協議不很適合于經由數據包過濾安全保護。如RPC、X- Window和FTP。而且服務代理和HTTP的鏈接，大大削弱了基于源地址和源端口的過濾功能。

• 正常的數據包過濾路由器無法執行某些安全策略：例如，數據包說它們來自什么主機，而不是什么用戶，因此，我們不能強行限制特殊的用戶。同樣地，數據包說它到什么端口，而不是到什么應用程序，當我們通過端口號對高級協議強行限制時，不希望在端口上有別的指定協議之外的協議，而不懷好意的知情者能夠很容易地破壞這種控制。

• 有的包過濾路由器不提供任何日志能力：直到闖入發生后，危險的封包才可能檢測出來。它可以阻止非法用戶進入內部網絡，但也不會告訴我們究竟都有誰來過，或者誰從內部進入了外部網絡。

回答所涉及的環境：聯想天逸510S、Windows 10。