包过滤的局限性

⑴ 什么是包过滤技术其特点是什么

一、定义：
包过滤（Packet Filtering）技术：是基于协议特定的标准，路由器在其端口能够区分包和限制包的技术。
基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫包过滤（Packet Filtering）。其技术原理在于加入IP过滤功能的路由器逐一审查包头信息，并根据匹配和规则决定包的前行或被舍弃，以达到拒绝发送可疑的包的目的。过滤路由器具备保护整个网络、高效快速并且透明等优点，同时也有定义复杂、消耗CPU资源、不能彻底防止地址欺骗、涵盖应用协议不全、无法执行特殊的安全策略并且不提供日志等局限性。包过滤技术的二、特点
1、优点 ：对小型的、不太复杂的站点包过滤较容易实现。
（1）一个过滤路由器能协助保护整个网络。绝大多数Internet防火墙系统只用一个包过滤路由器；
（2）过滤路由器速度快、效率高。执行包过滤所用的时间很少或几乎不需要什么时间，由于过滤路由器只检查报头相应的字段，一般不查看数据报的内容，而且某些核心部分是由专用硬件实现的，如果通信负载适中且定义的过滤很少的话，则对路由器性能没有多大影响；
（3）包过滤路由器对终端用户和应用程序是透明的。当数据包过滤路由器决定让数据包通过时，它与普通路由器没什么区别，甚至用户没有认识到它的存在，因此不需要专门的用户培训或在每主机上设置特别的软件。
2、缺点及局限性：
他们很少有或没有日志记录能力，所以网络管理员很难确认系统是否正在被入侵或已经被入侵了。这种防火墙的最大缺陷是依赖一个单一的部件来保护系统。

（1）定义包过滤器可能是一项复杂的工作。因为网管员需要详细地了解Internet各种服务、包头格式和他们在希望每个域查找的特定的值。如果必须支持复杂的过滤要求的，则过滤规则集可能会变得很长很复杂，并且没有什么工具可以用来验证过滤规则的正确性。
（2）路由器信息包的吞吐量随过滤器数量的增加而减少。路由器被优化用来从每个包中提取目的IP地址、查找一个相对简单的路由表，而后将信息包顺向运行到适当转发接口。如果过滤可执行，路由器还必须对每个包执行所有过滤规则。这可能消耗CPU的资源，并影响一个完全饱和的系统性能。
（3）不能彻底防止地址欺骗。大多数包过滤路由器都是基于源IP地址、目的IP地址而进行过滤的，而IP地址的伪造是很容易、很普遍的。
（4）一些应用协议不适合于数据包过滤。即使是完美的数据包过滤，也会发现一些协议不很适合于经由数据包过滤安全保护。如RPC、X- Window和FTP。而且服务代理和HTTP的链接，大大削弱了基于源地址和源端口的过滤功能。
（5）正常的数据包过滤路由器无法执行某些安全策略。例如，数据包说它们来自什么主机，而不是什么用户，因此，我们不能强行限制特殊的用户。同样地，数据包说它到什么端口，而不是到什么应用程序，当我们通过端口号对高级协议强行限制时，不希望在端口上有别的指定协议之外的协议，而不怀好意的知情者能够很容易地破坏这种控制。
（6）一些包过滤路由器不提供任何日志能力，直到闯入发生后，危险的封包才可能检测出来。它可以阻止非法用户进入内部网络，但也不会告诉我们究竟都有谁来过，或者谁从内部进入了外部网络。

⑵ 什么叫包过滤技术

基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫包过滤（Packet Filtering）。其专技术原理在于属加入IP过滤功能的路由器逐一审查包头信息，并根据匹配和规则决定包的前行或被舍弃，以达到拒绝发送可疑的包的目的。过滤路由器具备保护整个网络、高效快速并且透明等优点，同时也有定义复杂、消耗CPU资源、不能彻底防止地址欺骗、涵盖应用协议不全、无法执行特殊的安全策略并且不提供日志等局限性。

⑶ 什么是过虑包技术

楼主说的是不是包过滤技术
包过滤技术

包过滤技术(IP Filtering or packet filtering) 的原理在于监视并过滤网络上流入流出的IP包，拒绝发送可疑的包。基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫包过滤（Packet Filtering）。由于Internet 与Intranet 的连接多数都要使用路由器，所以Router成为内外通信的必经端口，Router的厂商在Router上加入IP 过滤 功能，过滤路由器也可以称作包过滤路由器或筛选路由器（Packet Filter Router）。防火墙常常就是这样一个具备包过滤功能的简单路由器，这种Firewall应该是足够安全的，但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的，因而在安全要求较高的场合，通常还配合使用其它的技术来加强安全性。

常用的优秀的个人防火墙有Norman Personal Firewall、天网防火墙等。

路由器逐一审查数据包以判定它是否与其它包过滤规则相匹配。每个包有两个部分：数据部分和包头。过滤规则以用于IP顺行处理的包头信息为基础，不理会包内的正文信息内容。包头信息包括：IP 源地址、IP目的地址、封装协议(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包类型、包输入接口和包输出接口。如果找到一个匹配，且规则允许这包，这一包则根据路由表中的信息前行。如果找到一个匹配，且规则拒绝此包，这一包则被舍弃。如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被舍弃。

包过滤规则允许Router取舍以一个特殊服务为基础的信息流，因为大多数服务检测器驻留于众所周知的TCP/UDP端口。例如，Telnet Service 为TCP port 23端口等待远程连接，而SMTP Service为TCP Port 25端口等待输入连接。如要封锁输入Telnet、SMTP的连接，则Router舍弃端口值为23、25的所有的数据包。

表9.1 一些常用网络服务和使用的端口

服务名称
端口号
协议
说明

ftp-data
20
tcp
FTP数据

ftp
21
tcp
FTP控制

telnet
23
tcp
如BBS

smtp
25
tcp
发email用

time
37
tcp
timserver

time
37
udp
timserver

domain
53
tcp
DNS

domain
53
udp
DNS

tftp
69
udp

gopher
70
tcp
gopher查询

http
80
tcp
www

pop3
110
tcp
收email用

nntp
119
tcp
新闻组，usernet

netbios-ns
137
tcp
NETBIOS 名称服务

netbios-ns
137
udp
NETBIOS 名称服务

netbios-dgm
138
udp
NETBIOS 数据报服务

netbios-ssn
139
tcp
NETBIOS Session服务

snmp
161
udp
SNMP

snmptrap
162
udp
SNMP trap

irc
194
tcp
IRC网络聊天服务

ldap
389
tcp
轻型目录服务协议

https
443
tcp
SSL加密

https
443
udp

典型的过滤规则有以下几种：允许特定名单内的内部主机进行Telnet输入对话、只允许特定名单内的内部主机进行FTP输入对话、只允许所有Telnet 输出对话、只允许所有FTP 输出对话、拒绝来自一些特定外部网络的所有输入信息。

有些类型的攻击很难用基本包头信息加以鉴别，因为这些独立于服务。一些Router可以用来防止这类攻击，但过滤规则需要增加一些信息，而这些信息只有通过以下方式才能获悉：研究Router选择表、检查特定的IP选项、校验特殊的片段偏移等。这类攻击有以下几种：

源IP地址欺骗攻击：入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包；这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口，则舍弃每个含有这个源IP地址的信息包，就可以挫败这种源欺骗攻击。

源路由攻击：源站指定了一个信息包穿越Internet时应采取的路径，这类攻击企图绕过安全措施，并使信息包沿一条意外(疏漏)的路径到达目的地。可以通过舍弃所有包含这类源路由选项的信息包方式，来挫败这类攻击。

残片攻击：入侵者利用IP残片特性生成一个极小的片断并将TCP报头信息肢解成一个分离的信息包片断。舍弃所有协议类型为TCP、IP片断偏移值等于1的信息包，即可挫败残片的攻击。

从以上可看出定义一个完善的安全过滤规则是非常重要的。通常，过滤规则以表格的形式表示，其中包括以某种次序排列的条件和动作序列。每当收到一个包时，则按照从前至后的顺序与表格中每行的条件比较，直到满足某一行的条件，然后执行相应的动作(转发或舍弃)。有些数据包过滤在实现时，“动作”这一项还询问，若包被丢弃是否要通知发送者(通过发ICMP信息)，并能以管理员指定的顺序进行条件比较，直至找到满足的条件。

对流进和流出网络的数据进行过滤可以提供一种高层的保护。建议过滤规则如下：

（1）任何进入内部网络的数据包不能把网络内部的地址作为源地址。

（2）任何进入内部网络的数据包必须把网络内部的地址作为目的地址。

（3）任何离开内部网络的数据包必须把网络内部的地址作为源地址。

（4）任何离开内部网络的数据包不能把网络内部的地址作为目的地址。

（5）任何进入或离开内部网络的数据包不能把一个私有地址（private address）或在RFC1918中 127.0.0.0/8.）的地址作为源或目的地址。

（6）阻塞任意源路由包或任何设置了IP选项的包。

（7）保留、DHCP自动配置和多播地址也需要被阻塞。0.0.0.0/8 、169.254.0.0/16 、192.0.2.0/24 、224.0.0.0/4 、240.0.0.0/4。

包过滤路由器的优点：

（1）一个过滤路由器能协助保护整个网络。绝大多数Internet防火墙系统只用一个包过滤路由器；

（2）过滤路由器速度快、效率高。执行包过滤所用的时间很少或几乎不需要什么时间，由于过滤路由器只检查报头相应的字段，一般不查看数据报的内容，而且某些核心部分是由专用硬件实现的，如果通信负载适中且定义的过滤很少的话，则对路由器性能没有多大影响；

（3）包过滤路由器对终端用户和应用程序是透明的。当数据包过滤路由器决定让数据包通过时，它与普通路由器没什么区别，甚至用户没有认识到它的存在，因此不需要专门的用户培训或在每主机上设置特别的软件。

包过滤路由器的局限性：

（1）定义包过滤器可能是一项复杂的工作。因为网管员需要详细地了解Internet各种服务、包头格式和他们在希望每个域查找的特定的值。如果必须支持复杂的过滤要求的，则过滤规则集可能会变得很长很复杂，并且没有什么工具可以用来验证过滤规则的正确性。

（2）路由器信息包的吞吐量随过滤器数量的增加而减少。路由器被优化用来从每个包中提取目的IP地址、查找一个相对简单的路由表，而后将信息包顺向运行到适当转发接口。如果过滤可执行，路由器还必须对每个包执行所有过滤规则。这可能消耗CPU的资源，并影响一个完全饱和的系统性能。

（3）不能彻底防止地址欺骗。大多数包过滤路由器都是基于源IP地址、目的IP地址而进行过滤的，而IP地址的伪造是很容易、很普遍的。

（4）一些应用协议不适合于数据包过滤。即使是完美的数据包过滤，也会发现一些协议不很适合于经由数据包过滤安全保护。如RPC、X- Window和FTP。而且服务代理和HTTP的链接，大大削弱了基于源地址和源端口的过滤功能。

（5）正常的数据包过滤路由器无法执行某些安全策略。例如，数据包说它们来自什么主机，而不是什么用户，因此，我们不能强行限制特殊的用户。同样地，数据包说它到什么端口，而不是到什么应用程序，当我们通过端口号对高级协议强行限制时，不希望在端口上有别的指定协议之外的协议，而不怀好意的知情者能够很容易地破坏这种控制。

（6）一些包过滤路由器不提供任何日志能力，直到闯入发生后，危险的封包才可能检测出来。它可以阻止非法用户进入内部网络，但也不会告诉我们究竟都有谁来过，或者谁从内部进入了外部网络，

与图1封装过程相反，在网络连接的
获取数据就由下而上依次把包头剥离。
另一边（接收方）的工作是解包。即在另一边，为了

在数据包过滤系统看来
种将被包过滤路由器检查的
，包的最重要信息是各层依次加
包的包头内容。
上的包头。在下文中将主要介绍各

二、 数据包过滤是怎样工作的

包过滤技术可以允许或不允许某些包在网络上传递，它依据以下的根据：
(1)将包的目的地址作为判断依据；
(2)将包的源地址作为判断依据；
(3)将包的传送协议作为判断依据。
大多数包过滤系统判断是否传送包时
让我们进行类似以下情况的操作：
都不关心包的具体内容。作为防火墙包过滤系统只能

(1)不允许任何用户从外部网用Telnet登录；
(2)允许任何用户使用SMTP往内部网发电子邮件；
(3)只允许某台机器通过NNTP往内部网发新闻。
但包过滤不能允许我们进行如下操作：
(1)允许某个用户从外部网用Telnet登录而不允许其它用户进行这种操作；
(2)允许用户传送一些文件而不允许用户传送其它文件。
数据包过滤系统不能识
的文件信息。包过滤系统的
为例，假定不让客户使用Te
现有的条件下可以作到，但
其它用户就永远不在重新安
行设置，也就无所谓机器中
别数据包中的用户信息。同样数
主要特点是让用户在一台机器上
lnet而将网络中现有机器上的Te
是不能保证在网络中新增机器时
装Telnet服务。如果有了包过滤
的Telnet服务是否存在的问题了
据包过滤系统也不能识别数据包中
提供对整个网络的保护。以Telnet
lnet服务关闭，作为系统管理员在
，新机器的Telnet服务也被关闭或
系统，由于只要在包过滤中对此进
。

路由器为所有用户进出
络中的特定位置的过滤路由
内部邮件的包——就是那种
常被作为地址伪装入侵的一
滤路由器来实现我们设计的
在这种位置上的包过滤路由
网还是来自于外部网。
网络的数据流提供了一个有用的
器来提供。比如，我们考虑这样
看起来好象来自于内部主机而其
部分。入侵者总是用这种包把他
安全规则，唯一的方法是通过参
器才能通过查看包的源地址，从

阻塞点。而对有关的保护只能由网
的安全规则，让网络拒绝任何含有
实是来自于外部网的包，这种包经
们伪装成来自于内部网。要用包过
数网络上的包过滤路由器。只有处
而辨认出这个包到底是来自于内部

三、 包过滤的优缺点

1.包过滤的优点
包过滤方式有许多优点
就可保护整个网络。如果站
这台路由器上设定合适的包
，而其主要优点之一是仅用一个
点与因特网间只有一台路由器，
过滤，我们的站点就可以获得很
放置在战略要津上的包过滤路由器
那么不管站点规模有多大，只要在
好的网络安全保护。

包过滤不需要用户软件的支撑，也不
何培训。当包过滤路由器允许包通过时，
甚至感觉不到包过滤功能的存在，只有在
器的不同。包过滤工作对用户来讲是透明
下完成包过滤。
要求对客户机做特别的设置，也没有必要对用户做任
它看起来与普通的路由器没有任何区别。此时，用户
有些包在禁入和禁出时，用户才认识到它与普通路由
的。这种透明就是可在不要求用户作任何操作的前提

包过滤产品比较容易获得。在市场上
从网上免费下载的都提供了包过滤功能。
。Drawbrige、KralBrige以及Screened也
。
有许多硬件和软件的路由器产品不管是商业产品还是
比如，Cisco公司的路由器产品就包含有包过滤功能
都具有包过滤功能，而且还能从Internet上免费下载

2. 包过滤的缺点
尽管包过滤系统有许多优点，但是它仍有缺点和局限性：
1） 在机器中配置包过滤规则比较困难；
2） 对包过滤规则设置的测试也很麻烦；
3） 许多产品的包过滤
。
功能有这样或那样的局限性，要

找一个比较完整的包过滤产品很难

包过滤系统本身就存有
系统的安全性的影响。因为
些平常应该拒绝的包也能进
某些缺陷，这些缺陷对系统的安
代理服务的缺陷仅仅会使数据无
出网络，这对系统的安全性是一
全性的影响要大大超过代理服务对
法传送，而包过滤的缺陷会使得一
个巨大的威胁。

即使在系统中安装了比较完整的包过
太合适。比如，对Berkeley的“r"命令（
，用包过滤系统就不太合适。有些安全规
来自于哪台主机的信息而无来自于哪个用
滤系统，我们也会发现对有些协议使用包过滤方式不
rcp、rsh、rlogin）和类似于NFS和NIS/YS协议的RPC
则是难以用包过滤规则来实现的。比如，在包中只有
户的信息。因此，若要过滤用户就不能使用包过滤。

⑷ 包过滤技术的介绍

基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫包过滤（Packet Filtering）。其技术原理在于加入IP过滤功能的路由器逐一审查包头信息，并根据匹配和规则决定包的前行或被舍弃，以达到拒绝发送可疑的包的目的。过滤路由器具备保护整个网络、高效快速并且透明等优点，同时也有定义复杂、消耗CPU资源、不能彻底防止地址欺骗、涵盖应用协议不全、无法执行特殊的安全策略并且不提供日志等局限性。

⑸ 包过滤技术的局限性

（1）定义包过滤器可能是一项复杂的工作。因为网管员需要详细地了解Internet各种服务、包头格式和他们在希望每个域查找的特定的值。如果必须支持复杂的过滤要求的，则过滤规则集可能会变得很长很复杂，并且没有什么工具可以用来验证过滤规则的正确性。
（2）路由器信息包的吞吐量随过滤器数量的增加而减少。路由器被优化用来从每个包中提取目的IP地址、查找一个相对简单的路由表，而后将信息包顺向运行到适当转发接口。如果过滤可执行，路由器还必须对每个包执行所有过滤规则。这可能消耗CPU的资源，并影响一个完全饱和的系统性能。
（3）不能彻底防止地址欺骗。大多数包过滤路由器都是基于源IP地址、目的IP地址而进行过滤的，而IP地址的伪造是很容易、很普遍的。
（4）一些应用协议不适合于数据包过滤。即使是完美的数据包过滤，也会发现一些协议不很适合于经由数据包过滤安全保护。如RPC、X- Window和FTP。而且服务代理和HTTP的链接，大大削弱了基于源地址和源端口的过滤功能。
（5）正常的数据包过滤路由器无法执行某些安全策略。例如，数据包说它们来自什么主机，而不是什么用户，因此，我们不能强行限制特殊的用户。同样地，数据包说它到什么端口，而不是到什么应用程序，当我们通过端口号对高级协议强行限制时，不希望在端口上有别的指定协议之外的协议，而不怀好意的知情者能够很容易地破坏这种控制。
（6）一些包过滤路由器不提供任何日志能力，直到闯入发生后，危险的封包才可能检测出来。它可以阻止非法用户进入内部网络，但也不会告诉我们究竟都有谁来过，或者谁从内部进入了外部网络。

⑹ 简述包过滤防火墙的工作原理

包过滤防火墙是最简单的一种防火墙，它在网络层截获网络数据包，根据防火墙的版规则表，来检测攻击行为。权包过滤防火墙一般作用在网络层（IP层），故也称网络层防火墙（Network Lev Firewall）或IP过滤器（IP filters）。数据包过滤（Packet Filtering）是指在网络层对数据包进行分析、选择。通过检查数据流中每一个数据包的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。在网络层提供较低级别的安全防护和控制。

⑺ 状态防火墙和包过滤防火墙的区别是什么啊

1、含义上的区别

状态防火墙是一种能够提供状态封包检查或状态检视功能的防火墙。

包过滤防火墙是用一个软件查看所流经的数据包的包头，由此决定整个包的命运。

2、作用上的区别

状态防火墙能够持续追踪穿过这个防火墙的各种网络连接（例如TCP与UDP连接）的状态。这种防火墙被设计来区分不同连接种类下的合法数据包。只有匹配主动连接的数据包才能够被允许穿过防火墙，其他的数据包都会被拒绝。

包过滤防火墙除了决定是否有到达目标地址的路径外，还要决定是否应该发送数据包；能为用户提供了一种透明的服务，用户不需要改变客户端的任何应用程序，也不需要用户学习任何新的东西。因为过滤路由器工作在IP层和TCP层，而IP层和TCP层与应用层的问题毫不相关。

3、工作原理上的区别

状态防火墙会跟踪网络连接的状态（例如TCP流或UDP通信），状态检查随着时间的推移监视传入和传出的数据包以及连接的状态，并将数据存储在动态状态表中。在建立连接时执行大部分CPU密集型检查，条目仅为满足定义的安全策略的TCP连接或UDP流创建。

数据包过滤用在内部主机和外部主机之间， 过滤系统是一台路由器或是一台主机。过滤系统根据过滤规则来决定是否让数据包通过。用于过滤数据包的路由器被称为过滤路由器。数据包过滤是通过对数据包的IP头和TCP头或UDP头的检查来实现。

⑻ 如何解除 数据包过滤的限制

如何解除 数据包过滤的限制
悬赏分：0
|
离问题结束还有 14 天 3 小时
|
提问者：
基于包回过滤的限答制，或者禁止了一些关键字。这类限制就比较强了，一般是通过代理服务器或者硬件防火墙做的过滤。比如：通过ISA Server 2004禁止MSN ，做了包过滤。这类限制比较难突破，普通的代理是无法突破限制的。
这类限制因为做了包过滤，能过滤出关键字来，所以要使用加密代理，也就是说中间走的HTTP或者SOCKS代理的数据流经过加密，比如跳板，SSSO， FLAT等，只要代理加密了就可以突破了， 用这些软件再配合Sockscap32，MSN就可以上了。 这类限制就不起作用了。 求详细的操作步骤！！！！！！！！
您不登录也可以回答问题
用户名：
密码码：
记住我的登录状态
登 录
使用可以第一时间收到“提问有新回答”“回答被采纳”“网友求助”的通知。
您想在自己的网站上展示网络“知道”上的问答吗？来吧！
如要投诉或提出意见建议，
请到反馈。

⑼ 什么是全状态包过滤

包过滤技术(IP Filtering or packet filtering) 的原理在于监视并过滤网络上流入流出的IP包，拒绝发送可疑的包。基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫包过滤（Packet Filtering）。由于Internet 与Intranet 的连接多数都要使用路由器，所以Router成为内外通信的必经端口，Router的厂商在Router上加入IP 过滤 功能，过滤路由器也可以称作包过滤路由器或筛选路由器（Packet FilterRouter）。防火墙常常就是这样一个具备包过滤功能的简单路由器，这种Firewall应该是足够安全的，但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的，因而在安全要求较高的场合，通常还配合使用其它的技术来加强安全性。

常用的优秀的个人防火墙有Norman Personal Firewall、天网防火墙等。

路由器逐一审查数据包以判定它是否与其它包过滤规则相匹配。每个包有两个部分：数据部分和包头。过滤规则以用于IP顺行处理的包头信息为基础，不理会包内的正文信息内容。包头信息包括：IP 源地址、IP目的地址、封装协议(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包类型、包输入接口和包输出接口。如果找到一个匹配，且规则允许这包，这一包则根据路由表中的信息前行。如果找到一个匹配，且规则拒绝此包，这一包则被舍弃。如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被舍弃。

包过滤规则允许Router取舍以一个特殊服务为基础的信息流，因为大多数服务检测器驻留于众所周知的TCP/UDP端口。例如，Telnet Service 为TCP port 23端口等待远程连接，而SMTP Service为TCP Port 25端口等待输入连接。如要封锁输入Telnet、SMTP的连接，则Router舍弃端口值为23、25的所有的数据包。

典型的过滤规则有以下几种：允许特定名单内的内部主机进行Telnet输入对话、只允许特定名单内的内部主机进行FTP输入对话、只允许所有Telnet 输出对话、只允许所有FTP 输出对话、拒绝来自一些特定外部网络的所有输入信息。

有些类型的攻击很难用基本包头信息加以鉴别，因为这些独立于服务。一些Router可以用来防止这类攻击，但过滤规则需要增加一些信息，而这些信息只有通过以下方式才能获悉：研究Router选择表、检查特定的IP选项、校验特殊的片段偏移等。这类攻击有以下几种：

源IP地址欺骗攻击：入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包；这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口，则舍弃每个含有这个源IP地址的信息包，就可以挫败这种源欺骗攻击。

源路由攻击：源站指定了一个信息包穿越Internet时应采取的路径，这类攻击企图绕过安全措施，并使信息包沿一条意外(疏漏)的路径到达目的地。可以通过舍弃所有包含这类源路由选项的信息包方式，来挫败这类攻击。

残片攻击：入侵者利用IP残片特性生成一个极小的片断并将TCP报头信息肢解成一个分离的信息包片断。舍弃所有协议类型为TCP、IP片断偏移值等于1的信息包，即可挫败残片的攻击。

从以上可看出定义一个完善的安全过滤规则是非常重要的。通常，过滤规则以表格的形式表示，其中包括以某种次序排列的条件和动作序列。每当收到一个包时，则按照从前至后的顺序与表格中每行的条件比较，直到满足某一行的条件，然后执行相应的动作(转发或舍弃)。有些数据包过滤在实现时，“动作”这一项还询问，若包被丢弃是否要通知发送者(通过发ICMP信息)，并能以管理员指定的顺序进行条件比较，直至找到满足的条件。

对流进和流出网络的数据进行过滤可以提供一种高层的保护。建议过滤规则如下：

（1）任何进入内部网络的数据包不能把网络内部的地址作为源地址。

（2）任何进入内部网络的数据包必须把网络内部的地址作为目的地址。

（3）任何离开内部网络的数据包必须把网络内部的地址作为源地址。

（4）任何离开内部网络的数据包不能把网络内部的地址作为目的地址。

（5）任何进入或离开内部网络的数据包不能把一个私有地址（private address）或在RFC1918中 127.0.0.0/8.）的地址作为源或目的地址。

（6）阻塞任意源路由包或任何设置了IP选项的包。

（7）保留、DHCP自动配置和多播地址也需要被阻塞。0.0.0.0/8 、169.254.0.0/16 、192.0.2.0/24 、224.0.0.0/4 、240.0.0.0/4。

包过滤路由器的优点：

（1）一个过滤路由器能协助保护整个网络。绝大多数Internet防火墙系统只用一个包过滤路由器；

（2）过滤路由器速度快、效率高。执行包过滤所用的时间很少或几乎不需要什么时间，由于过滤路由器只检查报头相应的字段，一般不查看数据报的内容，而且某些核心部分是由专用硬件实现的，如果通信负载适中且定义的过滤很少的话，则对路由器性能没有多大影响；

（3）包过滤路由器对终端用户和应用程序是透明的。当数据包过滤路由器决定让数据包通过时，它与普通路由器没什么区别，甚至用户没有认识到它的存在，因此不需要专门的用户培训或在每主机上设置特别的软件。

包过滤路由器的局限性：

（1）定义包过滤器可能是一项复杂的工作。因为网管员需要详细地了解Internet各种服务、包头格式和他们在希望每个域查找的特定的值。如果必须支持复杂的过滤要求的，则过滤规则集可能会变得很长很复杂，并且没有什么工具可以用来验证过滤规则的正确性。

（2）路由器信息包的吞吐量随过滤器数量的增加而减少。路由器被优化用来从每个包中提取目的IP地址、查找一个相对简单的路由表，而后将信息包顺向运行到适当转发接口。如果过滤可执行，路由器还必须对每个包执行所有过滤规则。这可能消耗CPU的资源，并影响一个完全饱和的系统性能。

（3）不能彻底防止地址欺骗。大多数包过滤路由器都是基于源IP地址、目的IP地址而进行过滤的，而IP地址的伪造是很容易、很普遍的。

（4）一些应用协议不适合于数据包过滤。即使是完美的数据包过滤，也会发现一些协议不很适合于经由数据包过滤安全保护。如RPC、X- Window和FTP。而且服务代理和HTTP的链接，大大削弱了基于源地址和源端口的过滤功能。

（5）正常的数据包过滤路由器无法执行某些安全策略。例如，数据包说它们来自什么主机，而不是什么用户，因此，我们不能强行限制特殊的用户。同样地，数据包说它到什么端口，而不是到什么应用程序，当我们通过端口号对高级协议强行限制时，不希望在端口上有别的指定协议之外的协议，而不怀好意的知情者能够很容易地破坏这种控制。

（6）一些包过滤路由器不提供任何日志能力，直到闯入发生后，危险的封包才可能检测出来。它可以阻止非法用户进入内部网络，但也不会告诉我们究竟都有谁来过，或者谁从内部进入了外部网络。