不能進行包過濾的設備是什麼

A. 我的電腦上有一個網路數據包過濾驅動是什麼意思

數據包過濾（packet filtering）是一個用軟體或硬體設備對向網路上傳或從網路下載的數據流進行有選擇的控制過程。數據包過濾器通常是在將數據包從一個網站向另一個網路傳送的過程中允許或阻止它們的通過（更為常見的是在從英特網向內部網路傳輸數據時，或從內部網路向英特網傳輸）。若要完成數據包過濾，你就要設置好規則來指定哪些類型的數據包被允許通過和哪些類型的數據包將會被阻止

B. 通常硬體防火牆中採用的包過濾技術中，什麼不能作為判斷依據

包過濾防火牆是用一個軟體查看所流經的數據包的包頭（header），由此決定整個包的命運。它可能會決定丟棄（DROP）這個包，可能會接受（ACCEPT）這個包（讓這個包通過），也可能執行其它更復雜的動作。

C. 什麼是過濾設備

過濾設備(外文譯抄名 Filtration equipment)是指用來進行過濾的機械設備或者裝置，是工業生產中常見的通用設備。 過濾設備總體分為真空和加壓兩類，真空類常用的有轉筒、圓盤、水平帶式等，加壓類常用的有壓濾、壓榨、動態過濾和旋轉型等。

按工作原理分
袋式過濾器

1. 結構緊湊、尺寸合理。安裝及操作簡單、方便，佔地面積較小。

2. 過濾精度高，適用於任何細微顆粒或懸浮物，過濾范圍可從 1 ～ 800 微米。

3. 單位過濾面積的處理流量較大，過濾阻力較小，過濾效率高。一個濾袋過濾功能相當於同類型濾芯 5 ～ 10 倍，可大大降低成本；設計流量可以滿足 1 ～ 500m3 /h 要求，成本造價低。

4. 用途廣泛，可用於粗濾、中濾或精濾；在達到同樣過濾效果的情況下，比較起板框精濾機、濾芯式過濾器等設備具有投資成本較低、使用壽命長和過濾成本低等優點。

D. 安全設備指什麼（包過濾、訪問控制）

保衛自我的一些攝制器材！一些保障你隱私的軟體和設備。一般是密碼，防毒軟體密碼、安全防護等！@不同的應用，安全設備的定義不用，太廣泛了

E. 什麼是過濾驅動

過濾驅動就是掛載在其他驅動上，對某設備的irp進行攔截過濾作用，可以對設備專進行功能屬擴展，或是數據加密等的驅動程序。

比如：

1. 可以對寫入硬碟的數據做加密，然後讀取的時候解密，這樣對於用戶來說，根本不知道有加密解密的過程，然後存在硬碟上的數據是加密的。

2. 可以對已有驅動做一些擴展，或者改變已有驅動的功能。比如已有驅動一次只能寫1024位元組的數據，那麼過濾驅動可以擴展到任何長度，然後分段調用已有驅動就是了。

過濾驅動可以在功能型驅動的上面，稱之為上層過濾驅動，或者高層，反正就這個意思。過濾驅動在功能型驅動下面，稱之為下層過濾驅動。看示意圖：

F. 狀態防火牆和包過濾防火牆的區別是什麼啊

1、含義上的區別

狀態防火牆是一種能夠提供狀態封包檢查或狀態檢視功能的防火牆。

包過濾防火牆是用一個軟體查看所流經的數據包的包頭，由此決定整個包的命運。

2、作用上的區別

狀態防火牆能夠持續追蹤穿過這個防火牆的各種網路連接（例如TCP與UDP連接）的狀態。這種防火牆被設計來區分不同連接種類下的合法數據包。只有匹配主動連接的數據包才能夠被允許穿過防火牆，其他的數據包都會被拒絕。

包過濾防火牆除了決定是否有到達目標地址的路徑外，還要決定是否應該發送數據包；能為用戶提供了一種透明的服務，用戶不需要改變客戶端的任何應用程序，也不需要用戶學習任何新的東西。因為過濾路由器工作在IP層和TCP層，而IP層和TCP層與應用層的問題毫不相關。

3、工作原理上的區別

狀態防火牆會跟蹤網路連接的狀態（例如TCP流或UDP通信），狀態檢查隨著時間的推移監視傳入和傳出的數據包以及連接的狀態，並將數據存儲在動態狀態表中。在建立連接時執行大部分CPU密集型檢查，條目僅為滿足定義的安全策略的TCP連接或UDP流創建。

數據包過濾用在內部主機和外部主機之間， 過濾系統是一台路由器或是一台主機。過濾系統根據過濾規則來決定是否讓數據包通過。用於過濾數據包的路由器被稱為過濾路由器。數據包過濾是通過對數據包的IP頭和TCP頭或UDP頭的檢查來實現。

G. gateway是什麼設備

網關的英文名字是Gateway，最初的意思是連接兩個協議差別很大的計算機網路時使用的設備。通過網關可以將不同體系結構的計算機網路連接在一起，例如IBM的SNA伺服器要和DEC公司的網路交流信息，就可以通過網關來實現，它完成復雜的協議轉換工作，並將數據重新分組發送。在OSI中，網關屬於最高層（應用層）的設備。網關本身不具有Cache（緩存），只是協議的轉換或者轉發。
網關(Gateway)以及網橋(Gate Bridge)均指不同網路之間的通訊介面設備和程序，只不過兩者針對的網路層次不同。網關是網路連接設備的重要組成部分，它不僅具有路由的功能，而且能在兩個不同的協議集之間進行轉換，從而使不同的網路之間進行互聯。例如：一個Netware區域網通過網關可以訪問IBM的SNA網路，這樣使用IPX協議的PC就可和SNA網路上的IBM主機進行通信。現在Internet技術上越來越少用這兩個詞彙，而由Router (路由器)統指此類介面設備和程序。

如果搞清了什麼是網關，默認網關也就好理解了。就好像一個房間可以有多扇門一樣，一台主機可以有多個網關。默認網關的意思是一台主機如果找不到可用的網關，就把數據包發給默認指定的網關，由這個網關來處理數據包。現在主機使用的網關，一般指的是默認網關。
如何設置默認網關

一台電腦的默認網關是不可以隨隨便便指定的，必須正確地指定，否則一台電腦就會將數據包發給不是網關的電腦，從而無法與其他網路的電腦通信。默認網關的設定有手動設置和自動設置兩種方式。

1. 手動設置

手動設置適用於電腦數量比較少、TCP/IP參數基本不變的情況，比如只有幾台到十幾台電腦。因為這種方法需要在聯入網路的每台電腦上設置「默認網關」，非常費勁，一旦因為遷移等原因導致必須修改默認網關的IP地址，就會給網管帶來很大的麻煩，所以不推薦使用。

在Windows 9x中，設置默認網關的方法是在「網上鄰居」上右擊，在彈出的菜單中點擊「屬性」，在網路屬性對話框中選擇「TCP/IP協議」，點擊「屬性」，在「默認網關」選項卡中填寫新的默認網關的IP地址就可以了。

需要特別注意的是：默認網關必須是電腦自己所在的網段中的IP地址，而不能填寫其他網段中的IP地址。

2. 自動設置

自動設置就是利用DHCP伺服器來自動給網路中的電腦分配IP地址、子網掩碼和默認網關。這樣做的好處是一旦網路的默認網關發生了變化時，只要更改了DHCP伺服器中默認網關的設置，那麼網路中所有的電腦均獲得了新的默認網關的IP地址。這種方法適用於網路規模較大、TCP/IP參數有可能變動的網路。

另外一種自動獲得網關的辦法是通過安裝代理伺服器軟體（如MS Proxy）的客戶端程序來自動獲得，其原理和方法和DHCP有相似之處.
參考資料：互聯網

H. 為什麼路由器可以過濾廣播包而交換機不可以

廣播分二層廣播和三層廣播，二層廣播是FFFF.FFFF.FFFF，二層交換機遇到這種包就會泛洪到所有同VLAN的埠，不會過濾掉，因為如果二層交換機過濾這種包，arp廣播怎麼正常工作呢？沒有arp，同網段的PC如何通信呢？路由器可以過濾二層廣播是因為路由器是三層設備，如果路由器不過濾這種包，任何人發起的二層廣播包就會到達Internet的整個范圍，這樣還要路由器做什麼呢？路由器就是為了劃分廣播域用的阿。

對於三層廣播還有本地廣播255.255.255.255和特定子網廣播比如192.168.1.255/24之分，255.255.255.255這種本地廣播是肯定沒發跨越路由器的，因為一旦這種廣播能跨越路由器的話，同樣任何人發起的這種廣播就會跑到Internet的任何角落。然而對於特定子網的廣播是可以配置為允許跨路由器或者不允許跨路由器的，如果允許的話，我就可以跨越路由器對特定的子網發起三層廣播。通常不要允許這類廣播，因為你一旦允許了很容易造成icmp sumrf攻擊的。

再說一下這種三層廣播對二層交換機來說是沒有意義的，普通二層交換機只能看到二層頭。也只會根據二層頭中的目標地址進行處理。

I. 包過濾防火牆的技術缺點

→一些包過濾網關不支持有效的用戶認證。
→規則表很快會變得很大而且復雜，規則很難測試。隨著表的增大和復雜性的增加，規則結構出現漏洞的可能 性也會增加。
→這種防火牆最大的缺陷是它依賴一個單一的部件來保護系統。如果這個部件出現了問題，會使得網路大門敞開，而用戶甚至可能還不知道。
→在一般情況下，如果外部用戶被允許訪問內部主機，則它就可以訪問內部網上的任何主機。
→包過濾防火牆只能阻止一種類型的IP欺騙，即外部主機偽裝內部主機的IP，對於外部主機偽裝外部主機的IP欺騙卻不可能阻止，而且它不能防止DNS欺騙。
雖然，包過濾防火牆有如上所述的缺點，但是在管理良好的小規模網路上，它能夠正常的發揮其作用。一般情況下，人們不單獨使用包過濾網關，而是將它和其他設備（如堡壘主機等）聯合使用。
包過濾的工作是通過查看數據包的源地址、目的地址或埠來實現的，一般來說，它不保持前後連接信息，過濾決定是根據 當前數據包的內容來做的。管理員可以做一個可接受機和服務的列表，以及一個不可接受機和服務的列表。在主機和網路一級，利用數據包過濾很容易實現允許或禁止訪問。
由此不難看出這個層次的防火牆的優點和弱點，由於防火牆只是工作在OSI的第三層（網路層）和第四層（傳輸層），因此包過濾的防火牆的一個非常明顯的優勢就是速度，這是因為防火牆只是去檢查數據報的報頭，而對數據報所攜帶的內容沒有任何形勢的檢查，因此速度非常快。與此同時，這種防火牆的缺點也是顯而易見的，比較關鍵的幾點如下所述。
（1）由於無法對數據報的內容進行核查，一次無法過濾或審核數據報的內容
體現這一問題的一個很簡單的例子就是：對某個埠的開放意味著相應埠對應的服務所能夠提供的全部功能都被開放，即使通過防火牆的數據報有攻擊性，也無法進行控制和阻斷。例如在一個簡單的Web伺服器，而包過濾的防火牆無法對數據報內容進行核查。因此，未打相應補丁的提供Web服務的系統，及時在防火牆的屏蔽之後，也會被攻擊著輕易獲取超級用戶的許可權。
（2）由於此種類型的防火牆工作在較低層次，防火牆本身所能接觸的信息較少，所以它無法提供描述細致事件的日誌系統。
此類防火牆生成的日誌常常只是包括數據報捕獲的時間、網路層的IP地址、傳輸層的埠等非常原始的信息。至於這個數據報內容是什麼，防火牆不會理會，而這對安全管理員而言恰恰是很關鍵的。因為及時一個非常優秀的系統管理員，一旦陷入大量的通過/屏蔽的原始數據包信息中，往往也是難以理清頭緒，這在發生安全事件時給管理員的安全審計帶來很大的困難。
（3）所有可能用到的埠（尤其是大於1024的埠）都必須開放，對外界暴露，從而極大地增加了被攻擊的可能性
通常對於網路上所有服務所需要的數據包進出防火牆的二埠都要仔細考慮，否則會產生意想不到的情況。然而我們知道，當被防火牆保護的設備與外界通信時，絕大多數應用要求發出請求的系統本身提供一個埠，用來接收外界返回的數據包，而且這個埠一般是在1024到65536之間不確定的，如果不開放這些埠，通信將無法完成，這樣就需要開放1024以上的全部埠，允許這些埠的數據包進出。而這就帶來非常大的安全隱患。例如：用戶網中有一台UNIX伺服器，對內部用戶開放了RPC服務，而這個服務是用在高埠的，那麼這台伺服器非常容易遭到基於RPC應用的攻擊。
（4）如果網路結構比較復雜，那麼對管理員而言配置訪問控制規則將非常困難
當網路發展到一定規模時，在路由器上配置訪問控制規則將會非常繁瑣，在一個規則甚至一個地址處出現錯誤都有可能導致整個訪問控制列表無法正常使用。