包過濾路由器的缺點

A. 有關包過濾路由器的問題

1.初步分析，你的路由器上至少有3個介面，介面1為企業內部介面，接內口2為企業外部介面，容介面3為廣域網介面。

2.訪問控制如果是按照訪問控制列表來做，並且嚴格的寫了控制條目的話，就涉及到應用的問題，首先你說的「除了目的地址＝主機A且TCP目的埠號＝80的數據包，禁止轉發從Internet到來的所以數據包」應該做在介面2上，如果做在3上，寫法就不同了，而「同時，允許轉發所有從企業內部網發出的數據包」應該做在介面1上，如果在2上無意義，在3上的話寫法也不一樣。那麼你要做的就是在這2個埠上應用訪問控制列表，如果是，可以達到預期目的。

3.我給你些建議：
3.1 你需要允許內網到公網所有的應用，那麼你在埠1上應用一條只允許內網網段訪問公網地址的控制列表即可，因為訪問列表默認會拒絕你沒有應用的所有數據
3.2 你需要外部網路訪問主機A的WWW服務，那麼你在埠2上應用一條只允許外網網段訪問到主機A的WWW流量的控制列表即可。

B. 什麼是包過濾技術其特點是什麼

一、定義：
包過濾（Packet Filtering）技術：是基於協議特定的標准，路由器在其埠能夠區分包和限制包的技術。
基於協議特定的標准，路由器在其埠能夠區分包和限制包的能力叫包過濾（Packet Filtering）。其技術原理在於加入IP過濾功能的路由器逐一審查包頭信息，並根據匹配和規則決定包的前行或被舍棄，以達到拒絕發送可疑的包的目的。過濾路由器具備保護整個網路、高效快速並且透明等優點，同時也有定義復雜、消耗CPU資源、不能徹底防止地址欺騙、涵蓋應用協議不全、無法執行特殊的安全策略並且不提供日誌等局限性。包過濾技術的二、特點
1、優點 ：對小型的、不太復雜的站點包過濾較容易實現。
（1）一個過濾路由器能協助保護整個網路。絕大多數Internet防火牆系統只用一個包過濾路由器；
（2）過濾路由器速度快、效率高。執行包過濾所用的時間很少或幾乎不需要什麼時間，由於過濾路由器只檢查報頭相應的欄位，一般不查看數據報的內容，而且某些核心部分是由專用硬體實現的，如果通信負載適中且定義的過濾很少的話，則對路由器性能沒有多大影響；
（3）包過濾路由器對終端用戶和應用程序是透明的。當數據包過濾路由器決定讓數據包通過時，它與普通路由器沒什麼區別，甚至用戶沒有認識到它的存在，因此不需要專門的用戶培訓或在每主機上設置特別的軟體。
2、缺點及局限性：
他們很少有或沒有日誌記錄能力，所以網路管理員很難確認系統是否正在被入侵或已經被入侵了。這種防火牆的最大缺陷是依賴一個單一的部件來保護系統。

（1）定義包過濾器可能是一項復雜的工作。因為網管員需要詳細地了解Internet各種服務、包頭格式和他們在希望每個域查找的特定的值。如果必須支持復雜的過濾要求的，則過濾規則集可能會變得很長很復雜，並且沒有什麼工具可以用來驗證過濾規則的正確性。
（2）路由器信息包的吞吐量隨過濾器數量的增加而減少。路由器被優化用來從每個包中提取目的IP地址、查找一個相對簡單的路由表，而後將信息包順向運行到適當轉發介面。如果過濾可執行，路由器還必須對每個包執行所有過濾規則。這可能消耗CPU的資源，並影響一個完全飽和的系統性能。
（3）不能徹底防止地址欺騙。大多數包過濾路由器都是基於源IP地址、目的IP地址而進行過濾的，而IP地址的偽造是很容易、很普遍的。
（4）一些應用協議不適合於數據包過濾。即使是完美的數據包過濾，也會發現一些協議不很適合於經由數據包過濾安全保護。如RPC、X- Window和FTP。而且服務代理和HTTP的鏈接，大大削弱了基於源地址和源埠的過濾功能。
（5）正常的數據包過濾路由器無法執行某些安全策略。例如，數據包說它們來自什麼主機，而不是什麼用戶，因此，我們不能強行限制特殊的用戶。同樣地，數據包說它到什麼埠，而不是到什麼應用程序，當我們通過埠號對高級協議強行限制時，不希望在埠上有別的指定協議之外的協議，而不懷好意的知情者能夠很容易地破壞這種控制。
（6）一些包過濾路由器不提供任何日誌能力，直到闖入發生後，危險的封包才可能檢測出來。它可以阻止非法用戶進入內部網路，但也不會告訴我們究竟都有誰來過，或者誰從內部進入了外部網路。

C. 路由器的包過濾功能

你要用過濾功能的前提條件是陸由器的防火牆是開啟的，你這樣的構想是可行的。

D. 路由器的缺點是什麼

不能直接用外接線接入自己的電腦，電腦容易因為路由器而出現掉線等問題。有時路由器壞了都不知道問題出現在哪個地方，比較麻煩。

E. 包過濾防火牆的特點是

包過濾防火牆是用一個軟體查看所流經的數據包的包頭（header），版由此決定整個包的命運。它權可能會決定丟棄（DROP）這個包，可能會接受（ACCEPT）這個包（讓這個包通過），也可能執行其它更復雜的動作。
特點如下：

1對於一個小型的、不太復雜的站點，包過濾比較容易實現。
2因為過濾路由器工作在IP層和TCP層，所以處理包的速度比代理伺服器快。
3過濾路由器為用戶提供了一種透明的服務，用戶不需要改變客戶端的任何應用程序，也不需要用戶學習任何新的東西。因為過濾路由器工作在IP層和TCP層，而IP層和TCP層與應用層的問題毫不相關。所以，過濾路由器有時也被稱為「包過濾網關」或「透明網關」，之所被稱為網關，是因為包過濾路由器和傳統路由器不同，它涉及到了傳輸層。
4過濾路由器在價格上一般比代理伺服器便宜。

F. 包過濾技術的優點

（1）一個過濾路由器能協助保護整個網路。絕大多數Internet防火牆系統只用一個包過濾路由器內；
（2）過濾路由器速容度快、效率高。執行包過濾所用的時間很少或幾乎不需要什麼時間，由於過濾路由器只檢查報頭相應的欄位，一般不查看數據報的內容，而且某些核心部分是由專用硬體實現的，如果通信負載適中且定義的過濾很少的話，則對路由器性能沒有多大影響；
（3）包過濾路由器對終端用戶和應用程序是透明的。當數據包過濾路由器決定讓數據包通過時，它與普通路由器沒什麼區別，甚至用戶沒有認識到它的存在，因此不需要專門的用戶培訓或在每主機上設置特別的軟體。

G. 包過濾路由器的優點有哪些

（1）簡單實用。
（2）速度快、效率高。
（3）對用戶和應用來講是透明的。

例子自己想吧

H. 路由器如何進行數據包過濾

數據包是TCP/IP協議通信傳輸中的數據單位，區域網中傳輸的不是「幀」嗎?
但是TCP/IP協議是工作在OSI模型第三層(網路層)、第四層(傳輸層)上的，而幀是工作在第二層(數據鏈路層)。
上一層的內容由下一層的內容來傳輸，所以在區域網中，「包」是包含在「幀」里的。
一、數據包過濾有時也稱為靜態數據包過濾，它通過分析傳入和傳出的數據包以及根據既定標准傳遞或阻止數據包來控制對網路的訪問，當路由器根據過濾規則轉發或拒絕數據包時，它便充當了一種數據包過濾器。
當數據包到達過濾數據包的路由器時，路由器會從數據包報頭中提取某些信息，根據過濾規則決定該數據包是應該通過還是應該丟棄。數據包過濾工作在開放式系統互聯 (OSI) 模型的網路層，或是 TCP/IP 的 Internet 層。
二、作為第3層設備，數據包過濾路由器根據源和目的 IP 地址、源埠和目的埠以及數據包的協議，利用規則來決定是應該允許還是拒絕流量。這些規則是使用訪問控制列表 (ACL) 定義的。
三、相信您還記得，ACL 是一系列 permit 或 deny 語句組成的順序列表，應用於 IP 地址或上層協議。ACL 可以從數據包報頭中提取以下信息，根據規則進行測試，然後決定是「允許」還是「拒絕」。
四、簡單的說，你上網打開網頁，這個簡單的動作，就是你先發送數據包給網站，它接收到了之後，根據你發送的數據包的IP地址，返回給你網頁的數據包，也就是說，網頁的瀏覽，實際上就是數據包的交換。
1、數據鏈路層對數據幀的長度都有一個限制，也就是鏈路層所能承受的最大數據長度，這個值稱為最大傳輸單元，即MTU。以乙太網為例，這個值通常是1500位元組。
2、對於IP數據包來講，也有一個長度，在IP包頭中，以16位來描述IP包的長度。一個IP包，最長可能是65535位元組。
3、結合以上兩個概念，第一個重要的結論就出來了，如果IP包的大小，超過了MTU值，那麼就需要分片，也就是把一個IP包分為多個。
數據包的結構與我們平常寫信非常類似，目的IP地址是說明這個數據包是要發給誰的，相當於收信人地址;
源IP地址是說明這個數據包是發自哪裡的，相當於發信人地址，而凈載數據相當於信件的內容，正是因為數據包具有這樣的結構，安裝了TCP/IP協議的計算機之間才能相互通信。
在使用基於TCP/IP協議的網路時，網路中其實傳遞的就是數據包。

I. 路由器的優缺點

路由器的優缺點

1．優點

適用於大規模的網路；

復雜的網路拓撲結構，負載共享和最優路徑；

能更好地處理多媒體；

安全性高；

隔離不需要的通信量；

節省區域網的頻寬；

減少主機負擔。

2．缺點

它不支持非路由協議；

安裝復雜；

價格高。

J. 包過濾技術如何防禦黑客攻擊以及包過濾技術的優缺點（越詳細越好）

包過濾應該是針對某一個數據包來進行的過濾，這樣的話就可以防止某些有害的版數據包進入你的網路內部權，但是這樣的話它不能夠防止一些通過正常埠進行訪問的數據包 如DDOS裡面的CC攻擊就是通過一個正常的80埠來進行訪問從而產生了大量的數據流量使伺服器承受不住而宕機。