包过滤技术如何防御黑客攻击以及包过滤技术的优缺点（越详细越好）

花钱下载的文章，希望对你有帮助！

用专业术语来说，防火墙是一种位于两个或多个网络间，实施网
络之 访问控制的组件集合。对于普通用户来说，所谓 “ 防火墙”，
指的就是一种破放置在自己的计算机与外界网络之间的防御系统，从
网络发往计算机的所有数据都要经过它的判断处理后，才会决定能不
能把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下
来，实现了对汁算机的保护功能。
1 防火墙的主要功能
(1 )防火墙是网络安全的屏障。一个防火墙能极大地提高一个
内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有
经过精心选择的应用协议才能过防火墙，所以网络环境变得更安全。
如防火墙可以禁止诸如众所』 吉 I 知的不安全的NF S 协议进出受保护网
络，这样外部的攻击者就不可能利1 } f 】 这些脆弱的协议来攻击内部网
络。防火墙吲时可以保护网络免受基于路由的攻击 ，如I P 选项中的源
路由攻击和I CMP 重定向中的重定向路径。防火墙应该可以拒绝所有
以上类型攻击的报文并通知系统管理员。
( 2)防火墙可以强化网络安全策略。通过以防火墙为中心的安
全方案配置 ，能将所有安全软件 ( 如口令、加密、身份认证、审计
等)配置在防火墙上。与将网络安全问题分散到各个主机上相比，防
火墙的集中安全管理更经济。例如在网络访 时，一次一密口令系统
和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防
火墙上。
( 3)对婀络存取和访问进行监控审汁。如果所有的访i ' u 】 部经过
防火墙 ，那么，防火墙就能记录下这些访问并作出E t 志汜录， 时也
能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行
适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收
集一个网络的使用和误用情况也是非常重要的 首先的理由是可以清
楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制
是否充足。而网络使用统汁对I 矧络需求分析和威胁分析等而言也是非
常重要的。
( 4)防止内部信息的外泄。通过利用防火墙对内部网络的划
分，可实现内部网重点网段的隔离 ，从而限制了局部重点或敏感网络
安全问题对全局网络造成的影响。使用防火墙就可以隐蔽那些透漏内
部细节j t l F i n g e r ，DNS 等服务。F i n g e r 显示了主机的所有用户的注册
名、真名，最后器录时间和使用s h e l l 类型等。但是F i n g e r 显示的信息
非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程
度，这个系统是否有用户正在连线上嘲，这个系统是否在被攻击时引
起注意等等。防火墙可以同样阻塞有关内部网络中的DNS 信息，这样
一
台主机的域名和I P 地址就不会谈外界所了解。
2 防火墙体系结构
(1 )双宿／ 多宿主机。这种模式是在堡垒主机上配置两块或两块
以上的网卡实现的。其中，一块网卡用于外部网络 ，而其余网卡则用
于内部网络，并通过代理服务系统来实现防火墙的各种功能。
( 2)屏蔽主机。这种模式是在双宿／ 多宿主机模式的基础上增加
外部过滤路由没备实现的。堡垒主机通过一个外部过滤路由器进行连
接，在通过代 服务系统将外部过滤路由器传来的消息于内部网络联
系在一起，从而起到保护内部网络的作用。
( 3)屏蔽子网。这种模式是在屏蔽主饥模式的基础上增加内部
过滤路由设备实现的。堡垒主机使用的两个过滤路由器，分别于内部
网络和外部网络连接，再通过代理服务系统处理经过过滤路d t 器的信息
3 防火墙包过滤技术
(1 ) “ 包过滤”技术简介。 “ 包过滤”是最早使用的一种防火
墙技术，也是防火墙所要实现的最基本功能，它可将不符合要求的包
过滤掉。它的第一代模型是 “ 静态包过滤”，使用包过滤技术的防火
墙通常工作在o s i 模型 中的网络层上，后来发展更新的 “ 动态包过
滤”增加了传输层 ，简言之 ，包过滤技术工作的地方就是各种基于
T C P ／ I P 协议的数据报文进出的通道 ，它把这两层作为数据监控的对
象，对每个数据包的头部、协议、地址 、端口、类型等信息进行分
析，并与预先没定好的防火墙过滤规则进行核对，一旦发现某个包的
某个或多个部分与过滤规则匹配并且条件为 “ 阻止”的时候，这个包
就会被丢弃。
( 2) “ 包过滤”防火墙的一般工作原理。包过滤是在I P 层实现
的，因此，它可以只用路由器完成。包过滤根据包的源I P J ~J L、目的
I P 地址、源端口、目的端口及包传递方向等报头信息来判断是否允许
包通过。过滤用户定义的内容，如I P 地址。其工作原理是系统在网络
层检查数据包 ，与应用层无关 ，包过滤器的应用非常广泛 ，因为
CP U用来处理包过滤的时间可以忽略不汁。而且这种防护措施对用户
透明，合法用户在进出网络时，根本感觉不到它的存在，使用起来很
方便。这样系统就具有很好的传输性能，易扩展：但是这种防火墙不
太安全，因为系统对应用层信息无感知也就是说，它们不理解通信的
内容，不能在用户级别上进行过滤 ，即不能识别不同的用户和防止
I P 地址的盗用。如果攻击者把自己主机的I P 地址没成一个合法主机的
l P 地址，就可以很轻易地通过包过滤器，这样更容易被黑客攻破。
( 3)黑客攻击包过滤防火墙的常用手段。 “ I P 地址欺骗”是黑
客比较常用的一种攻击手段。黑客们 包过滤防火墙发出一系列信息
包 ，这些包中的l P 地址已经被替换为一串顺序的I P 地址，一旦有一个
包通过了防火墙，黑客便可以用这个I P 地址来伪装他们发出的信息。
攻击者向被攻击的计算机发出许许多多个虚假的 “ 同步请求”信息
包 ，目标计算机响应了这种信息包后会等待请求发出者的应答．而攻
击者却不做任何回应 ，服务器在一定时间里没有收到响应信号的话就
会结束这次请求连接 ，但是当服务器在遇到成千上万个虚假请求时，
它便没有能力来处理正常的用户服务请求，处于这种攻下的服务器表 现为性能下降，服务响应时间变长，严重时服务完全停止甚至死机。
但是 ，如果防火墙能结合接口，地址来匹配，这种攻击就不能成功。
4 包过滤技术的优缺点及其发展趋势
随着网络应用的增加，对网络带宽提出了更高的要求。这意味着
防火墙要能够以非常高的速率处理数据。为了满足这种需要，一些防
火墙制造商开发了基于AS I C 的防火墙和基于网络处理器的防火墙。
从执行速度的角度看来 ，基于网络处理器的防火墙也是基于软件的解
决方案，它需要在很大程度上依赖于软件的性能，但是由于这类防火
墙中有一些专门用于处理数据层面任务的引擎，从而减轻了C P U的负
担 ，该类防火墙的性能要比传统防火墙的性能好许多。

包过滤应该是针对某一个数据包来进行的过滤，这样的话就可以防止某些有害的数据包进入你的网络内部，但是这样的话它不能够防止一些通过正常端口进行访问的数据包 如DDOS里面的CC攻击就是通过一个正常的80端口来进行访问从而产生了大量的数据流量使服务器承受不住而宕机。

建议去图书馆，一定比在这里的详细。

而且百度上强些的人本来就少，