什么叫包过滤

A. 简述入侵检测常用的四种方法

入侵检测系统所采用的技术可分为特征检测与异常检测两种。

1、特征检测

特征检测(Signature-based detection) 又称Misuse detection ，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。

它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

2、异常检测

异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。

异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

(1)什么叫包过滤扩展阅读

入侵分类：

1、基于主机

一般主要使用操作系统的审计、跟踪日志作为数据源，某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。

这种类型的检测系统不需要额外的硬件．对网络流量不敏感，效率高，能准确定位入侵并及时进行反应，但是占用主机资源，依赖于主机的可靠性，所能检测的攻击类型受限。不能检测网络攻击。

2、基于网络

通过被动地监听网络上传输的原始流量，对获取的网络数据进行处理，从中提取有用的信息，再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。

此类检测系统不依赖操作系统作为检测资源，可应用于不同的操作系统平台；配置简单，不需要任何特殊的审计和登录机制；可检测协议攻击、特定环境的攻击等多种攻击。

但它只能监视经过本网段的活动，无法得到主机系统的实时状态，精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统。

3、分布式

这种入侵检测系统一般为分布式结构，由多个部件组成，在关键主机上采用主机入侵检测，在网络关键节点上采用网络入侵检测，同时分析来自主机系统的审计日志和来自网络的数据流，判断被保护系统是否受到攻击。

B. 数据包过滤技术的工作原理是什么

数据包过滤技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑专，被称为访问控制列表。属通过检查数据流中每个数据包的源地址、目的地址、所用的端口号和协议状态等因素或它们的组合，来确定是否允许该数据包通过。

C. 包过滤的基本特点和工作原理是什么

包过滤
防火墙的一类。传统的包过滤功能在路由器上常可看到，而专门回的防火墙系统答一般在此之上加了功能的扩展，如状态检测等。它通过检查单个包的地址，协议，端口等信息来决定是否允许此数据包通过。
包过滤防火墙是最简单的一种防火墙，它在网络层截获网络数据包，根据防火墙的规则表，来检测攻击行为。包过滤防火墙一般作用在网络层（IP层），故也称网络层防火墙（Network Lev Firewall）或IP过滤器（IP filters）。数据包过滤（Packet Filtering）是指在网络层对数据包进行分析、选择。通过检查数据流中每一个数据包的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。在网络层提供较低级别的安全防护和控制。

D. 状态防火墙和包过滤防火墙的区别是什么啊

1、含义上的区别

状态防火墙是一种能够提供状态封包检查或状态检视功能的防火墙。

包过滤防火墙是用一个软件查看所流经的数据包的包头，由此决定整个包的命运。

2、作用上的区别

状态防火墙能够持续追踪穿过这个防火墙的各种网络连接（例如TCP与UDP连接）的状态。这种防火墙被设计来区分不同连接种类下的合法数据包。只有匹配主动连接的数据包才能够被允许穿过防火墙，其他的数据包都会被拒绝。

包过滤防火墙除了决定是否有到达目标地址的路径外，还要决定是否应该发送数据包；能为用户提供了一种透明的服务，用户不需要改变客户端的任何应用程序，也不需要用户学习任何新的东西。因为过滤路由器工作在IP层和TCP层，而IP层和TCP层与应用层的问题毫不相关。

3、工作原理上的区别

状态防火墙会跟踪网络连接的状态（例如TCP流或UDP通信），状态检查随着时间的推移监视传入和传出的数据包以及连接的状态，并将数据存储在动态状态表中。在建立连接时执行大部分CPU密集型检查，条目仅为满足定义的安全策略的TCP连接或UDP流创建。

数据包过滤用在内部主机和外部主机之间， 过滤系统是一台路由器或是一台主机。过滤系统根据过滤规则来决定是否让数据包通过。用于过滤数据包的路由器被称为过滤路由器。数据包过滤是通过对数据包的IP头和TCP头或UDP头的检查来实现。

E. 我的电脑上有一个网络数据包过滤驱动是什么意思

数据包过滤（packet filtering）是一个用软件或硬件设备对向网络上传或从网络下载的数据流进行有选择的控制过程。数据包过滤器通常是在将数据包从一个网站向另一个网络传送的过程中允许或阻止它们的通过（更为常见的是在从英特网向内部网络传输数据时，或从内部网络向英特网传输）。若要完成数据包过滤，你就要设置好规则来指定哪些类型的数据包被允许通过和哪些类型的数据包将会被阻止

F. 包过滤防火墙的特点是

包过滤防火墙是用一个软件查看所流经的数据包的包头（header），版由此决定整个包的命运。它权可能会决定丢弃（DROP）这个包，可能会接受（ACCEPT）这个包（让这个包通过），也可能执行其它更复杂的动作。
特点如下：

1对于一个小型的、不太复杂的站点，包过滤比较容易实现。
2因为过滤路由器工作在IP层和TCP层，所以处理包的速度比代理服务器快。
3过滤路由器为用户提供了一种透明的服务，用户不需要改变客户端的任何应用程序，也不需要用户学习任何新的东西。因为过滤路由器工作在IP层和TCP层，而IP层和TCP层与应用层的问题毫不相关。所以，过滤路由器有时也被称为“包过滤网关”或“透明网关”，之所被称为网关，是因为包过滤路由器和传统路由器不同，它涉及到了传输层。
4过滤路由器在价格上一般比代理服务器便宜。

G. 简述包过滤防火墙的工作原理

包过滤防火墙是最简单的一种防火墙，它在网络层截获网络数据包，根据防火墙的规则专表，来检属测攻击行为。包过滤防火墙一般作用在网络层（IP层），故也称网络层防火墙（Network Lev Firewall）或IP过滤器（IP filters）。数据包过滤（Packet Filtering）是指在网络层对数据包进行分析、选择。通过检查数据流中每一个数据包的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。在网络层提供较低级别的安全防护和控制。

H. 什么叫包过滤

网络信号在输送过程中都是以数据包的形式进行的，每个数据包都有一个标志，记录着源地址、目标地址等数据信息，包过滤就是通过对数据包进行分析，把可疑的数据包或网络攻击数据包过滤掉，以便保护网络，或进行网络管理。

I. 什么叫包过滤防火墙

包过滤防火墙是最来简单的一种自防火墙，它在网络层截获网络数据包，根据防火墙的规则表，来检测攻击行为。包过滤防火墙一般作用在网络层（IP层），故也称网络层防火墙（Network Lev Firewall）或IP过滤器（IP filters）。数据包过滤（Packet Filtering）是指在网络层对数据包进行分析、选择。通过检查数据流中每一个数据包的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。在网络层提供较低级别的安全防护和控制。

J. 什么叫包过滤技术

基于协议抄特定的标准，路由器在其端袭口能够区分包和限制包的能力叫包过滤（Packet Filtering）。其技术原理在于加入IP过滤功能的路由器逐一审查包头信息，并根据匹配和规则决定包的前行或被舍弃，以达到拒绝发送可疑的包的目的。过滤路由器具备保护整个网络、高效快速并且透明等优点，同时也有定义复杂、消耗CPU资源、不能彻底防止地址欺骗、涵盖应用协议不全、无法执行特殊的安全策略并且不提供日志等局限性。