包過濾的局限性

⑴ 什麼是包過濾技術其特點是什麼

一、定義：
包過濾（Packet Filtering）技術：是基於協議特定的標准，路由器在其埠能夠區分包和限制包的技術。
基於協議特定的標准，路由器在其埠能夠區分包和限制包的能力叫包過濾（Packet Filtering）。其技術原理在於加入IP過濾功能的路由器逐一審查包頭信息，並根據匹配和規則決定包的前行或被舍棄，以達到拒絕發送可疑的包的目的。過濾路由器具備保護整個網路、高效快速並且透明等優點，同時也有定義復雜、消耗CPU資源、不能徹底防止地址欺騙、涵蓋應用協議不全、無法執行特殊的安全策略並且不提供日誌等局限性。包過濾技術的二、特點
1、優點 ：對小型的、不太復雜的站點包過濾較容易實現。
（1）一個過濾路由器能協助保護整個網路。絕大多數Internet防火牆系統只用一個包過濾路由器；
（2）過濾路由器速度快、效率高。執行包過濾所用的時間很少或幾乎不需要什麼時間，由於過濾路由器只檢查報頭相應的欄位，一般不查看數據報的內容，而且某些核心部分是由專用硬體實現的，如果通信負載適中且定義的過濾很少的話，則對路由器性能沒有多大影響；
（3）包過濾路由器對終端用戶和應用程序是透明的。當數據包過濾路由器決定讓數據包通過時，它與普通路由器沒什麼區別，甚至用戶沒有認識到它的存在，因此不需要專門的用戶培訓或在每主機上設置特別的軟體。
2、缺點及局限性：
他們很少有或沒有日誌記錄能力，所以網路管理員很難確認系統是否正在被入侵或已經被入侵了。這種防火牆的最大缺陷是依賴一個單一的部件來保護系統。

（1）定義包過濾器可能是一項復雜的工作。因為網管員需要詳細地了解Internet各種服務、包頭格式和他們在希望每個域查找的特定的值。如果必須支持復雜的過濾要求的，則過濾規則集可能會變得很長很復雜，並且沒有什麼工具可以用來驗證過濾規則的正確性。
（2）路由器信息包的吞吐量隨過濾器數量的增加而減少。路由器被優化用來從每個包中提取目的IP地址、查找一個相對簡單的路由表，而後將信息包順向運行到適當轉發介面。如果過濾可執行，路由器還必須對每個包執行所有過濾規則。這可能消耗CPU的資源，並影響一個完全飽和的系統性能。
（3）不能徹底防止地址欺騙。大多數包過濾路由器都是基於源IP地址、目的IP地址而進行過濾的，而IP地址的偽造是很容易、很普遍的。
（4）一些應用協議不適合於數據包過濾。即使是完美的數據包過濾，也會發現一些協議不很適合於經由數據包過濾安全保護。如RPC、X- Window和FTP。而且服務代理和HTTP的鏈接，大大削弱了基於源地址和源埠的過濾功能。
（5）正常的數據包過濾路由器無法執行某些安全策略。例如，數據包說它們來自什麼主機，而不是什麼用戶，因此，我們不能強行限制特殊的用戶。同樣地，數據包說它到什麼埠，而不是到什麼應用程序，當我們通過埠號對高級協議強行限制時，不希望在埠上有別的指定協議之外的協議，而不懷好意的知情者能夠很容易地破壞這種控制。
（6）一些包過濾路由器不提供任何日誌能力，直到闖入發生後，危險的封包才可能檢測出來。它可以阻止非法用戶進入內部網路，但也不會告訴我們究竟都有誰來過，或者誰從內部進入了外部網路。

⑵ 什麼叫包過濾技術

基於協議特定的標准，路由器在其埠能夠區分包和限制包的能力叫包過濾（Packet Filtering）。其專技術原理在於屬加入IP過濾功能的路由器逐一審查包頭信息，並根據匹配和規則決定包的前行或被舍棄，以達到拒絕發送可疑的包的目的。過濾路由器具備保護整個網路、高效快速並且透明等優點，同時也有定義復雜、消耗CPU資源、不能徹底防止地址欺騙、涵蓋應用協議不全、無法執行特殊的安全策略並且不提供日誌等局限性。

⑶ 什麼是過慮包技術

樓主說的是不是包過濾技術
包過濾技術

包過濾技術(IP Filtering or packet filtering) 的原理在於監視並過濾網路上流入流出的IP包，拒絕發送可疑的包。基於協議特定的標准，路由器在其埠能夠區分包和限制包的能力叫包過濾（Packet Filtering）。由於Internet 與Intranet 的連接多數都要使用路由器，所以Router成為內外通信的必經埠，Router的廠商在Router上加入IP 過濾 功能，過濾路由器也可以稱作包過濾路由器或篩選路由器（Packet Filter Router）。防火牆常常就是這樣一個具備包過濾功能的簡單路由器，這種Firewall應該是足夠安全的，但前提是配置合理。然而一個包過濾規則是否完全嚴密及必要是很難判定的，因而在安全要求較高的場合，通常還配合使用其它的技術來加強安全性。

常用的優秀的個人防火牆有Norman Personal Firewall、天網防火牆等。

路由器逐一審查數據包以判定它是否與其它包過濾規則相匹配。每個包有兩個部分：數據部分和包頭。過濾規則以用於IP順行處理的包頭信息為基礎，不理會包內的正文信息內容。包頭信息包括：IP 源地址、IP目的地址、封裝協議(TCP、UDP、或IP Tunnel)、TCP/UDP源埠、ICMP包類型、包輸入介面和包輸出介面。如果找到一個匹配，且規則允許這包，這一包則根據路由表中的信息前行。如果找到一個匹配，且規則拒絕此包，這一包則被舍棄。如果無匹配規則，一個用戶配置的預設參數將決定此包是前行還是被舍棄。

包過濾規則允許Router取捨以一個特殊服務為基礎的信息流，因為大多數服務檢測器駐留於眾所周知的TCP/UDP埠。例如，Telnet Service 為TCP port 23埠等待遠程連接，而SMTP Service為TCP Port 25埠等待輸入連接。如要封鎖輸入Telnet、SMTP的連接，則Router舍棄埠值為23、25的所有的數據包。

表9.1 一些常用網路服務和使用的埠

服務名稱
埠號
協議
說明

ftp-data
20
tcp
FTP數據

ftp
21
tcp
FTP控制

telnet
23
tcp
如BBS

smtp
25
tcp
發email用

time
37
tcp
timserver

time
37
udp
timserver

domain
53
tcp
DNS

domain
53
udp
DNS

tftp
69
udp

gopher
70
tcp
gopher查詢

http
80
tcp
www

pop3
110
tcp
收email用

nntp
119
tcp
新聞組，usernet

netbios-ns
137
tcp
NETBIOS 名稱服務

netbios-ns
137
udp
NETBIOS 名稱服務

netbios-dgm
138
udp
NETBIOS 數據報服務

netbios-ssn
139
tcp
NETBIOS Session服務

snmp
161
udp
SNMP

snmptrap
162
udp
SNMP trap

irc
194
tcp
IRC網路聊天服務

ldap
389
tcp
輕型目錄服務協議

https
443
tcp
SSL加密

https
443
udp

典型的過濾規則有以下幾種：允許特定名單內的內部主機進行Telnet輸入對話、只允許特定名單內的內部主機進行FTP輸入對話、只允許所有Telnet 輸出對話、只允許所有FTP 輸出對話、拒絕來自一些特定外部網路的所有輸入信息。

有些類型的攻擊很難用基本包頭信息加以鑒別，因為這些獨立於服務。一些Router可以用來防止這類攻擊，但過濾規則需要增加一些信息，而這些信息只有通過以下方式才能獲悉：研究Router選擇表、檢查特定的IP選項、校驗特殊的片段偏移等。這類攻擊有以下幾種：

源IP地址欺騙攻擊：入侵者從偽裝成源自一台內部主機的一個外部地點傳送一些信息包；這些信息包似乎像包含了一個內部系統的源IP地址。如果這些信息包到達Router的外部介面，則舍棄每個含有這個源IP地址的信息包，就可以挫敗這種源欺騙攻擊。

源路由攻擊：源站指定了一個信息包穿越Internet時應採取的路徑，這類攻擊企圖繞過安全措施，並使信息包沿一條意外(疏漏)的路徑到達目的地。可以通過舍棄所有包含這類源路由選項的信息包方式，來挫敗這類攻擊。

殘片攻擊：入侵者利用IP殘片特性生成一個極小的片斷並將TCP報頭信息肢解成一個分離的信息包片斷。舍棄所有協議類型為TCP、IP片斷偏移值等於1的信息包，即可挫敗殘片的攻擊。

從以上可看出定義一個完善的安全過濾規則是非常重要的。通常，過濾規則以表格的形式表示，其中包括以某種次序排列的條件和動作序列。每當收到一個包時，則按照從前至後的順序與表格中每行的條件比較，直到滿足某一行的條件，然後執行相應的動作(轉發或舍棄)。有些數據包過濾在實現時，「動作」這一項還詢問，若包被丟棄是否要通知發送者(通過發ICMP信息)，並能以管理員指定的順序進行條件比較，直至找到滿足的條件。

對流進和流出網路的數據進行過濾可以提供一種高層的保護。建議過濾規則如下：

（1）任何進入內部網路的數據包不能把網路內部的地址作為源地址。

（2）任何進入內部網路的數據包必須把網路內部的地址作為目的地址。

（3）任何離開內部網路的數據包必須把網路內部的地址作為源地址。

（4）任何離開內部網路的數據包不能把網路內部的地址作為目的地址。

（5）任何進入或離開內部網路的數據包不能把一個私有地址（private address）或在RFC1918中 127.0.0.0/8.）的地址作為源或目的地址。

（6）阻塞任意源路由包或任何設置了IP選項的包。

（7）保留、DHCP自動配置和多播地址也需要被阻塞。0.0.0.0/8 、169.254.0.0/16 、192.0.2.0/24 、224.0.0.0/4 、240.0.0.0/4。

包過濾路由器的優點：

（1）一個過濾路由器能協助保護整個網路。絕大多數Internet防火牆系統只用一個包過濾路由器；

（2）過濾路由器速度快、效率高。執行包過濾所用的時間很少或幾乎不需要什麼時間，由於過濾路由器只檢查報頭相應的欄位，一般不查看數據報的內容，而且某些核心部分是由專用硬體實現的，如果通信負載適中且定義的過濾很少的話，則對路由器性能沒有多大影響；

（3）包過濾路由器對終端用戶和應用程序是透明的。當數據包過濾路由器決定讓數據包通過時，它與普通路由器沒什麼區別，甚至用戶沒有認識到它的存在，因此不需要專門的用戶培訓或在每主機上設置特別的軟體。

包過濾路由器的局限性：

（1）定義包過濾器可能是一項復雜的工作。因為網管員需要詳細地了解Internet各種服務、包頭格式和他們在希望每個域查找的特定的值。如果必須支持復雜的過濾要求的，則過濾規則集可能會變得很長很復雜，並且沒有什麼工具可以用來驗證過濾規則的正確性。

（2）路由器信息包的吞吐量隨過濾器數量的增加而減少。路由器被優化用來從每個包中提取目的IP地址、查找一個相對簡單的路由表，而後將信息包順向運行到適當轉發介面。如果過濾可執行，路由器還必須對每個包執行所有過濾規則。這可能消耗CPU的資源，並影響一個完全飽和的系統性能。

（3）不能徹底防止地址欺騙。大多數包過濾路由器都是基於源IP地址、目的IP地址而進行過濾的，而IP地址的偽造是很容易、很普遍的。

（4）一些應用協議不適合於數據包過濾。即使是完美的數據包過濾，也會發現一些協議不很適合於經由數據包過濾安全保護。如RPC、X- Window和FTP。而且服務代理和HTTP的鏈接，大大削弱了基於源地址和源埠的過濾功能。

（5）正常的數據包過濾路由器無法執行某些安全策略。例如，數據包說它們來自什麼主機，而不是什麼用戶，因此，我們不能強行限制特殊的用戶。同樣地，數據包說它到什麼埠，而不是到什麼應用程序，當我們通過埠號對高級協議強行限制時，不希望在埠上有別的指定協議之外的協議，而不懷好意的知情者能夠很容易地破壞這種控制。

（6）一些包過濾路由器不提供任何日誌能力，直到闖入發生後，危險的封包才可能檢測出來。它可以阻止非法用戶進入內部網路，但也不會告訴我們究竟都有誰來過，或者誰從內部進入了外部網路，

與圖1封裝過程相反，在網路連接的
獲取數據就由下而上依次把包頭剝離。
另一邊（接收方）的工作是解包。即在另一邊，為了

在數據包過濾系統看來
種將被包過濾路由器檢查的
，包的最重要信息是各層依次加
包的包頭內容。
上的包頭。在下文中將主要介紹各

二、 數據包過濾是怎樣工作的

包過濾技術可以允許或不允許某些包在網路上傳遞，它依據以下的根據：
(1)將包的目的地址作為判斷依據；
(2)將包的源地址作為判斷依據；
(3)將包的傳送協議作為判斷依據。
大多數包過濾系統判斷是否傳送包時
讓我們進行類似以下情況的操作：
都不關心包的具體內容。作為防火牆包過濾系統只能

(1)不允許任何用戶從外部網用Telnet登錄；
(2)允許任何用戶使用SMTP往內部網發電子郵件；
(3)只允許某台機器通過NNTP往內部網發新聞。
但包過濾不能允許我們進行如下操作：
(1)允許某個用戶從外部網用Telnet登錄而不允許其它用戶進行這種操作；
(2)允許用戶傳送一些文件而不允許用戶傳送其它文件。
數據包過濾系統不能識
的文件信息。包過濾系統的
為例，假定不讓客戶使用Te
現有的條件下可以作到，但
其它用戶就永遠不在重新安
行設置，也就無所謂機器中
別數據包中的用戶信息。同樣數
主要特點是讓用戶在一台機器上
lnet而將網路中現有機器上的Te
是不能保證在網路中新增機器時
裝Telnet服務。如果有了包過濾
的Telnet服務是否存在的問題了
據包過濾系統也不能識別數據包中
提供對整個網路的保護。以Telnet
lnet服務關閉，作為系統管理員在
，新機器的Telnet服務也被關閉或
系統，由於只要在包過濾中對此進
。

路由器為所有用戶進出
絡中的特定位置的過濾路由
內部郵件的包——就是那種
常被作為地址偽裝入侵的一
濾路由器來實現我們設計的
在這種位置上的包過濾路由
網還是來自於外部網。
網路的數據流提供了一個有用的
器來提供。比如，我們考慮這樣
看起來好象來自於內部主機而其
部分。入侵者總是用這種包把他
安全規則，唯一的方法是通過參
器才能通過查看包的源地址，從

阻塞點。而對有關的保護只能由網
的安全規則，讓網路拒絕任何含有
實是來自於外部網的包，這種包經
們偽裝成來自於內部網。要用包過
數網路上的包過濾路由器。只有處
而辨認出這個包到底是來自於內部

三、 包過濾的優缺點

1.包過濾的優點
包過濾方式有許多優點
就可保護整個網路。如果站
這台路由器上設定合適的包
，而其主要優點之一是僅用一個
點與網際網路間只有一台路由器，
過濾，我們的站點就可以獲得很
放置在戰略要津上的包過濾路由器
那麼不管站點規模有多大，只要在
好的網路安全保護。

包過濾不需要用戶軟體的支撐，也不
何培訓。當包過濾路由器允許包通過時，
甚至感覺不到包過濾功能的存在，只有在
器的不同。包過濾工作對用戶來講是透明
下完成包過濾。
要求對客戶機做特別的設置，也沒有必要對用戶做任
它看起來與普通的路由器沒有任何區別。此時，用戶
有些包在禁入和禁出時，用戶才認識到它與普通路由
的。這種透明就是可在不要求用戶作任何操作的前提

包過濾產品比較容易獲得。在市場上
從網上免費下載的都提供了包過濾功能。
。Drawbrige、KralBrige以及Screened也
。
有許多硬體和軟體的路由器產品不管是商業產品還是
比如，Cisco公司的路由器產品就包含有包過濾功能
都具有包過濾功能，而且還能從Internet上免費下載

2. 包過濾的缺點
盡管包過濾系統有許多優點，但是它仍有缺點和局限性：
1） 在機器中配置包過濾規則比較困難；
2） 對包過濾規則設置的測試也很麻煩；
3） 許多產品的包過濾
。
功能有這樣或那樣的局限性，要

找一個比較完整的包過濾產品很難

包過濾系統本身就存有
系統的安全性的影響。因為
些平常應該拒絕的包也能進
某些缺陷，這些缺陷對系統的安
代理服務的缺陷僅僅會使數據無
出網路，這對系統的安全性是一
全性的影響要大大超過代理服務對
法傳送，而包過濾的缺陷會使得一
個巨大的威脅。

即使在系統中安裝了比較完整的包過
太合適。比如，對Berkeley的「r"命令（
，用包過濾系統就不太合適。有些安全規
來自於哪台主機的信息而無來自於哪個用
濾系統，我們也會發現對有些協議使用包過濾方式不
rcp、rsh、rlogin）和類似於NFS和NIS/YS協議的RPC
則是難以用包過濾規則來實現的。比如，在包中只有
戶的信息。因此，若要過濾用戶就不能使用包過濾。

⑷ 包過濾技術的介紹

基於協議特定的標准，路由器在其埠能夠區分包和限制包的能力叫包過濾（Packet Filtering）。其技術原理在於加入IP過濾功能的路由器逐一審查包頭信息，並根據匹配和規則決定包的前行或被舍棄，以達到拒絕發送可疑的包的目的。過濾路由器具備保護整個網路、高效快速並且透明等優點，同時也有定義復雜、消耗CPU資源、不能徹底防止地址欺騙、涵蓋應用協議不全、無法執行特殊的安全策略並且不提供日誌等局限性。

⑸ 包過濾技術的局限性

（1）定義包過濾器可能是一項復雜的工作。因為網管員需要詳細地了解Internet各種服務、包頭格式和他們在希望每個域查找的特定的值。如果必須支持復雜的過濾要求的，則過濾規則集可能會變得很長很復雜，並且沒有什麼工具可以用來驗證過濾規則的正確性。
（2）路由器信息包的吞吐量隨過濾器數量的增加而減少。路由器被優化用來從每個包中提取目的IP地址、查找一個相對簡單的路由表，而後將信息包順向運行到適當轉發介面。如果過濾可執行，路由器還必須對每個包執行所有過濾規則。這可能消耗CPU的資源，並影響一個完全飽和的系統性能。
（3）不能徹底防止地址欺騙。大多數包過濾路由器都是基於源IP地址、目的IP地址而進行過濾的，而IP地址的偽造是很容易、很普遍的。
（4）一些應用協議不適合於數據包過濾。即使是完美的數據包過濾，也會發現一些協議不很適合於經由數據包過濾安全保護。如RPC、X- Window和FTP。而且服務代理和HTTP的鏈接，大大削弱了基於源地址和源埠的過濾功能。
（5）正常的數據包過濾路由器無法執行某些安全策略。例如，數據包說它們來自什麼主機，而不是什麼用戶，因此，我們不能強行限制特殊的用戶。同樣地，數據包說它到什麼埠，而不是到什麼應用程序，當我們通過埠號對高級協議強行限制時，不希望在埠上有別的指定協議之外的協議，而不懷好意的知情者能夠很容易地破壞這種控制。
（6）一些包過濾路由器不提供任何日誌能力，直到闖入發生後，危險的封包才可能檢測出來。它可以阻止非法用戶進入內部網路，但也不會告訴我們究竟都有誰來過，或者誰從內部進入了外部網路。

⑹ 簡述包過濾防火牆的工作原理

包過濾防火牆是最簡單的一種防火牆，它在網路層截獲網路數據包，根據防火牆的版規則表，來檢測攻擊行為。權包過濾防火牆一般作用在網路層（IP層），故也稱網路層防火牆（Network Lev Firewall）或IP過濾器（IP filters）。數據包過濾（Packet Filtering）是指在網路層對數據包進行分析、選擇。通過檢查數據流中每一個數據包的源IP地址、目的IP地址、源埠號、目的埠號、協議類型等因素或它們的組合來確定是否允許該數據包通過。在網路層提供較低級別的安全防護和控制。

⑺ 狀態防火牆和包過濾防火牆的區別是什麼啊

1、含義上的區別

狀態防火牆是一種能夠提供狀態封包檢查或狀態檢視功能的防火牆。

包過濾防火牆是用一個軟體查看所流經的數據包的包頭，由此決定整個包的命運。

2、作用上的區別

狀態防火牆能夠持續追蹤穿過這個防火牆的各種網路連接（例如TCP與UDP連接）的狀態。這種防火牆被設計來區分不同連接種類下的合法數據包。只有匹配主動連接的數據包才能夠被允許穿過防火牆，其他的數據包都會被拒絕。

包過濾防火牆除了決定是否有到達目標地址的路徑外，還要決定是否應該發送數據包；能為用戶提供了一種透明的服務，用戶不需要改變客戶端的任何應用程序，也不需要用戶學習任何新的東西。因為過濾路由器工作在IP層和TCP層，而IP層和TCP層與應用層的問題毫不相關。

3、工作原理上的區別

狀態防火牆會跟蹤網路連接的狀態（例如TCP流或UDP通信），狀態檢查隨著時間的推移監視傳入和傳出的數據包以及連接的狀態，並將數據存儲在動態狀態表中。在建立連接時執行大部分CPU密集型檢查，條目僅為滿足定義的安全策略的TCP連接或UDP流創建。

數據包過濾用在內部主機和外部主機之間， 過濾系統是一台路由器或是一台主機。過濾系統根據過濾規則來決定是否讓數據包通過。用於過濾數據包的路由器被稱為過濾路由器。數據包過濾是通過對數據包的IP頭和TCP頭或UDP頭的檢查來實現。

⑻ 如何解除 數據包過濾的限制

如何解除 數據包過濾的限制
懸賞分：0
|
離問題結束還有 14 天 3 小時
|
提問者：
基於包回過濾的限答制，或者禁止了一些關鍵字。這類限制就比較強了，一般是通過代理伺服器或者硬體防火牆做的過濾。比如：通過ISA Server 2004禁止MSN ，做了包過濾。這類限制比較難突破，普通的代理是無法突破限制的。
這類限制因為做了包過濾，能過濾出關鍵字來，所以要使用加密代理，也就是說中間走的HTTP或者SOCKS代理的數據流經過加密，比如跳板，SSSO， FLAT等，只要代理加密了就可以突破了， 用這些軟體再配合Sockscap32，MSN就可以上了。 這類限制就不起作用了。 求詳細的操作步驟！！！！！！！！
您不登錄也可以回答問題
用戶名：
密碼碼：
記住我的登錄狀態
登 錄
使用可以第一時間收到「提問有新回答」「回答被採納」「網友求助」的通知。
您想在自己的網站上展示網路「知道」上的問答嗎？來吧！
如要投訴或提出意見建議，
請到反饋。

⑼ 什麼是全狀態包過濾

包過濾技術(IP Filtering or packet filtering) 的原理在於監視並過濾網路上流入流出的IP包，拒絕發送可疑的包。基於協議特定的標准，路由器在其埠能夠區分包和限制包的能力叫包過濾（Packet Filtering）。由於Internet 與Intranet 的連接多數都要使用路由器，所以Router成為內外通信的必經埠，Router的廠商在Router上加入IP 過濾 功能，過濾路由器也可以稱作包過濾路由器或篩選路由器（Packet FilterRouter）。防火牆常常就是這樣一個具備包過濾功能的簡單路由器，這種Firewall應該是足夠安全的，但前提是配置合理。然而一個包過濾規則是否完全嚴密及必要是很難判定的，因而在安全要求較高的場合，通常還配合使用其它的技術來加強安全性。

常用的優秀的個人防火牆有Norman Personal Firewall、天網防火牆等。

路由器逐一審查數據包以判定它是否與其它包過濾規則相匹配。每個包有兩個部分：數據部分和包頭。過濾規則以用於IP順行處理的包頭信息為基礎，不理會包內的正文信息內容。包頭信息包括：IP 源地址、IP目的地址、封裝協議(TCP、UDP、或IP Tunnel)、TCP/UDP源埠、ICMP包類型、包輸入介面和包輸出介面。如果找到一個匹配，且規則允許這包，這一包則根據路由表中的信息前行。如果找到一個匹配，且規則拒絕此包，這一包則被舍棄。如果無匹配規則，一個用戶配置的預設參數將決定此包是前行還是被舍棄。

包過濾規則允許Router取捨以一個特殊服務為基礎的信息流，因為大多數服務檢測器駐留於眾所周知的TCP/UDP埠。例如，Telnet Service 為TCP port 23埠等待遠程連接，而SMTP Service為TCP Port 25埠等待輸入連接。如要封鎖輸入Telnet、SMTP的連接，則Router舍棄埠值為23、25的所有的數據包。

典型的過濾規則有以下幾種：允許特定名單內的內部主機進行Telnet輸入對話、只允許特定名單內的內部主機進行FTP輸入對話、只允許所有Telnet 輸出對話、只允許所有FTP 輸出對話、拒絕來自一些特定外部網路的所有輸入信息。

有些類型的攻擊很難用基本包頭信息加以鑒別，因為這些獨立於服務。一些Router可以用來防止這類攻擊，但過濾規則需要增加一些信息，而這些信息只有通過以下方式才能獲悉：研究Router選擇表、檢查特定的IP選項、校驗特殊的片段偏移等。這類攻擊有以下幾種：

源IP地址欺騙攻擊：入侵者從偽裝成源自一台內部主機的一個外部地點傳送一些信息包；這些信息包似乎像包含了一個內部系統的源IP地址。如果這些信息包到達Router的外部介面，則舍棄每個含有這個源IP地址的信息包，就可以挫敗這種源欺騙攻擊。

源路由攻擊：源站指定了一個信息包穿越Internet時應採取的路徑，這類攻擊企圖繞過安全措施，並使信息包沿一條意外(疏漏)的路徑到達目的地。可以通過舍棄所有包含這類源路由選項的信息包方式，來挫敗這類攻擊。

殘片攻擊：入侵者利用IP殘片特性生成一個極小的片斷並將TCP報頭信息肢解成一個分離的信息包片斷。舍棄所有協議類型為TCP、IP片斷偏移值等於1的信息包，即可挫敗殘片的攻擊。

從以上可看出定義一個完善的安全過濾規則是非常重要的。通常，過濾規則以表格的形式表示，其中包括以某種次序排列的條件和動作序列。每當收到一個包時，則按照從前至後的順序與表格中每行的條件比較，直到滿足某一行的條件，然後執行相應的動作(轉發或舍棄)。有些數據包過濾在實現時，「動作」這一項還詢問，若包被丟棄是否要通知發送者(通過發ICMP信息)，並能以管理員指定的順序進行條件比較，直至找到滿足的條件。

對流進和流出網路的數據進行過濾可以提供一種高層的保護。建議過濾規則如下：

（1）任何進入內部網路的數據包不能把網路內部的地址作為源地址。

（2）任何進入內部網路的數據包必須把網路內部的地址作為目的地址。

（3）任何離開內部網路的數據包必須把網路內部的地址作為源地址。

（4）任何離開內部網路的數據包不能把網路內部的地址作為目的地址。

（5）任何進入或離開內部網路的數據包不能把一個私有地址（private address）或在RFC1918中 127.0.0.0/8.）的地址作為源或目的地址。

（6）阻塞任意源路由包或任何設置了IP選項的包。

（7）保留、DHCP自動配置和多播地址也需要被阻塞。0.0.0.0/8 、169.254.0.0/16 、192.0.2.0/24 、224.0.0.0/4 、240.0.0.0/4。

包過濾路由器的優點：

（1）一個過濾路由器能協助保護整個網路。絕大多數Internet防火牆系統只用一個包過濾路由器；

（2）過濾路由器速度快、效率高。執行包過濾所用的時間很少或幾乎不需要什麼時間，由於過濾路由器只檢查報頭相應的欄位，一般不查看數據報的內容，而且某些核心部分是由專用硬體實現的，如果通信負載適中且定義的過濾很少的話，則對路由器性能沒有多大影響；

（3）包過濾路由器對終端用戶和應用程序是透明的。當數據包過濾路由器決定讓數據包通過時，它與普通路由器沒什麼區別，甚至用戶沒有認識到它的存在，因此不需要專門的用戶培訓或在每主機上設置特別的軟體。

包過濾路由器的局限性：

（1）定義包過濾器可能是一項復雜的工作。因為網管員需要詳細地了解Internet各種服務、包頭格式和他們在希望每個域查找的特定的值。如果必須支持復雜的過濾要求的，則過濾規則集可能會變得很長很復雜，並且沒有什麼工具可以用來驗證過濾規則的正確性。

（2）路由器信息包的吞吐量隨過濾器數量的增加而減少。路由器被優化用來從每個包中提取目的IP地址、查找一個相對簡單的路由表，而後將信息包順向運行到適當轉發介面。如果過濾可執行，路由器還必須對每個包執行所有過濾規則。這可能消耗CPU的資源，並影響一個完全飽和的系統性能。

（3）不能徹底防止地址欺騙。大多數包過濾路由器都是基於源IP地址、目的IP地址而進行過濾的，而IP地址的偽造是很容易、很普遍的。

（4）一些應用協議不適合於數據包過濾。即使是完美的數據包過濾，也會發現一些協議不很適合於經由數據包過濾安全保護。如RPC、X- Window和FTP。而且服務代理和HTTP的鏈接，大大削弱了基於源地址和源埠的過濾功能。

（5）正常的數據包過濾路由器無法執行某些安全策略。例如，數據包說它們來自什麼主機，而不是什麼用戶，因此，我們不能強行限制特殊的用戶。同樣地，數據包說它到什麼埠，而不是到什麼應用程序，當我們通過埠號對高級協議強行限制時，不希望在埠上有別的指定協議之外的協議，而不懷好意的知情者能夠很容易地破壞這種控制。

（6）一些包過濾路由器不提供任何日誌能力，直到闖入發生後，危險的封包才可能檢測出來。它可以阻止非法用戶進入內部網路，但也不會告訴我們究竟都有誰來過，或者誰從內部進入了外部網路。