WEB开发网
开发学院网络安全防火墙 基于Linux系统的包过滤防火墙 阅读

基于Linux系统的包过滤防火墙

 2006-04-03 12:36:51 来源:WEB开发网   
核心提示: (1)优点:→对于一个小型的、不太复杂的站点,包过滤比较容易实现,基于Linux系统的包过滤防火墙(3),→因为过滤路由器工作在IP层和TCP层,所以处理包的速度比代理服务器快,一般情况下,人们不单独使用包过滤网关,→过滤路由器为用户提供了一种透明的服务,用户

(1)优点:

→对于一个小型的、不太复杂的站点,包过滤比较容易实现。

→因为过滤路由器工作在IP层和TCP层,所以处理包的速度比代理服务器快。

→过滤路由器为用户提供了一种透明的服务,用户不需要改变客户端的任何应用程序,也不需要用户学习任何新的东西。因为过滤路由器工作在IP层和TCP层,而IP层和TCP层与应用层的问题毫不相关。所以,过滤路由器有时也被称为“包过滤网关”或“透明网关”,之所被称为网关,是因为包过滤路由器和传统路由器不同,它涉及到了传输层。

→过滤路由器在价格上一般比代理服务器便宜。

(2)缺点:

→一些包过滤网关不支持有效的用户认证。

→规则表很快会变得很大而且复杂,规则很难测试。随着表的增大和复杂性的增加,规则结构出现漏洞的可能 性也会增加。

→这种防火墙最大的缺陷是它依赖一个单一的部件来保护系统。如果这个部件出现了问题,会使得网络大门敞开,而用户其至可能还不知道。

→在一般情况下,如果外部用户被允许访问内部主机,则它就可以访问内部网上的任何主机。

→包过滤防火墙只能阻止一种类型的IP欺骗,即外部主机伪装内部主机的IP,对于外部主机伪装外部主机的IP欺骗却不可能阻止,而且它不能防止DNS欺骗。

虽然,包过滤防火墙有如上所述的缺点,但是在管理良好的小规模网络上,它能够正常的发挥其作用。一般情况下,人们不单独使用包过滤网关,而是将它和其他设备(如堡垒主机等)联合使用。

1.2 Netfilter/iptables架构

1.2.1 Linux下的包过滤防火墙管理工具

从1.1内核开始,Linux系统就已经具有包过滤功能了,随着Linux内核版本的不断升级,Linux下的包过滤系统经历了如下3个阶段:

上一页  1 2 3 4 5 6 7 8  下一页

Tags:基于 Linux

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接