包过滤防火墙

包过滤防火墙的主要功能：对所通过的IP数据包按照既定的包过滤规则进行检查和控制，“过滤”掉不能满足要求的IP数据包

1.包过滤防火墙工作原理

包过滤防火墙通常嵌入在连接内外网的路由器（或网关）上，包过滤操作是在IP层实现的。

• 普通的路由器只检查数据包的目的地址，并选择一个达到目标地址的最佳路径，或者通知数据包的发送者“数据包”不可达。
• 嵌入包过滤防火墙的路由器会检查经过的IP数据包，除了决定是否有到达目标地址的路径外，包过滤防火墙还会对接收的数据包作出允许或者拒绝通过的决定

2.包过滤防火墙工作流程

包过滤防火墙的报文处理流程：

1. 从网关的IP协议层截获所有经过该网关的IP数据包，或者截获需要进行控制的IP数据包
2. 对截获的IP数据包的包头进行分析，提取相应的网络访问属性
3. 根据IP数据包的网络访问属性，解释或执行所选取的包过滤规则
4. 基于IP数据包的网络访问属性，解释或执行所选取的包过滤规则，得出针对于该IP数据包的访问判决。如果没有找到合适的包过滤规则，则根据默认的包处理方式得到该IP数据包的访问判决
   5.根据判决结果，直接丢弃所截获的IP数据包，或者让IP协议层继续进行路由处理

3.包过滤防火墙的优缺点

1.优点：

• 包过滤防火墙工作在IP层，不需要改变客户端的任何应用程序
• 包过滤防火墙工作在IP层，最多分析对应的传输层协议，协议处理比较简单，处理包的速度比应用代理防火墙快
  2.缺点：包过滤防火墙针对IP数据包进行报文过滤，而不是对应用层回话进行网络访问控制，不会分析IP数据包的上层语义
• 包过滤防火墙在IP层实现网络访问控制，而用户认证是应用层的概念，因此包过滤防火墙不支持有效的用户认证
• 包过滤防火墙一般基于单个IP数据包进行控制，很少分析IP数据包之间的关系以及对应的高层语义信息
• 包过滤防火墙所能接触的信息少，生成的日志通常只包括通过数据包捕获的通信时间、IP地址、端口等低层信息