什么是包過濾防火墻

包過濾防火墻是：

• 包過濾防火墻又稱分組過濾路由器，或網絡級防火墻，它工作在網絡層上，數據包從源發地發出并需要穿過防火墻時，一般通過檢查單個包的源地址、目的地址、所封裝的協議（TCP、UDP等）、端口、ICMP包的類型、輸入/輸出接口等信息來決定是否允許此數據包穿過防火墻。有時還需要進一步檢查數據包中的路由選擇表、特定的IP選項、校驗特殊的IP分段參數等以防止發生電子欺騙攻擊。包過濾的處理方式分靜態包過濾和動態包過濾兩種。靜態包過濾只是在網絡層上對當前數據包進行過濾處理；而動態包過濾則是利用狀態表在所有通信層上對當前數據包進行過濾處理，判斷該數據包是否符合安全要求。

• 通常，路由器便是一個“傳統”的包過濾防火墻，這種防火墻是基于源地址和目的地址、應用或協議，以及每個IP包的端口做出是否允許通過的判斷，而大多數路由器僅是通過這些信息來決定是否轉發包，它不能判斷出一個IP包來自何方，將去向何方。

• 包過濾防火墻使用所有規則對包中的信息進行逐個檢查，只要被檢查的包能滿足所要求的幾項規則即可，如果沒有一條規則能符合，防火墻就使用默認規則，要求丟棄該包。其次，通過定義基于TCP或UDP數據包的端口號，防火墻能判斷是否允許建立特定的連接，如Telnet、FTP連接。

• 專門的防火墻系統一般在包過濾基礎上增加了某些功能，如狀態檢測等。狀態檢測又稱動態包過濾，它是在傳統包過濾基礎上的功能擴展，最早由checkpoint提出。傳統的包過濾在遇到利用動態端口的協議時會發生困難，如FTP，防火墻事先無法知道哪些端口需要打開，而如果采用原始的靜態包過濾，又希望用到此服務的話，就需要將所有可能用到的端口打開，而這往往是個非常大的范圍，會給安全帶來不必要的隱患。而狀態檢測通過檢查應用程序信息（如FTP的PORT和PASS命令），來判斷此端口是否允許需要臨時打開，而當傳輸結束時，端口又馬上恢復為關閉狀態。

• 包過濾防火墻簡潔、速度快、費用低，并且對用戶透明，但是對網絡的保護很有限，因為它只檢查地址和端口，對網絡更高協議層的信息無理解能力。

回答所涉及的環境：聯想天逸510S、Windows 10。