什么是包过滤技术？其特点是什么？

包过滤（Packet Filtering）技术：是基于协议特定的标准，路由器在其端口能够区分包和限制包的技术。
包过滤技术的特点：对小型的、不太复杂的站点包过滤较容易实现。但是他们很少有或没有日志记录能力, 所以网络管理员很难确认系统是否正在被入侵或已经被入侵了。这种防火墙的最大缺陷是依赖一个单一的部件来保护系统。

基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫包过滤（Packet Filtering）。其技术原理在于加入IP过滤功能的路由器逐一审查包头信息，并根据匹配和规则决定包的前行或被舍弃，以达到拒绝发送可疑的包的目的。过滤路由器具备保护整个网络、高效快速并且透明等优点，同时也有定义复杂、消耗CPU资源、不能彻底防止地址欺骗、涵盖应用协议不全、无法执行特殊的安全策略并且不提供日志等局限性。

优点
（1）一个过滤路由器能协助保护整个网络。绝大多数Internet防火墙系统只用一个包过滤路由器；
（2）过滤路由器速度快、效率高。执行包过滤所用的时间很少或几乎不需要什么时间，由于过滤路由器只检查报头相应的字段，一般不查看数据报的内容，而且某些核心部分是由专用硬件实现的，如果通信负载适中且定义的过滤很少的话，则对路由器性能没有多大影响；
（3）包过滤路由器对终端用户和应用程序是透明的。当数据包过滤路由器决定让数据包通过时，它与普通路由器没什么区别，甚至用户没有认识到它的存在，因此不需要专门的用户培训或在每主机上设置特别的软件。

　　防火墙常常就是这样一个具备包过滤功能的简单路由器，这种Firewall应该是足够安全的，但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的，因而在安全要求较高的场合，通常还配合使用其它的技术来加强安全性。 常用的优秀的个人防火墙有Norman Personal Firewall、天网防火墙等。
　　路由器逐一审查数据包以判定它是否与其它包过滤规则相匹配。每个包有两个部分：数据部分和包头。过滤规则以用于IP顺行处理的包头信息为基础，不理会包内的正文信息内容。
　　包头信息包括：IP 源地址、IP目的地址、封装协议(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包类型、包输入接口和包输出接口。如果找到一个匹配，且规则允许这包，这一包则根据路由表中的信息前行。如果找到一个匹配，且规则拒绝此包，这一包则被舍弃。如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被舍弃。
　　包过滤规则允许Router取舍以一个特殊服务为基础的信息流，因为大多数服务检测器驻留于众所周知的TCP/UDP端口。例如，Telnet Service 为TCP port 23端口等待远程连接，而SMTP Service为TCP Port 25端口等待输入连接。如要封锁输入Telnet、SMTP的连接，则Router舍弃端口值为23、25的所有的数据包。

一、定义：
包过滤（Packet Filtering）技术：是基于协议特定的标准，路由器在其端口能够区分包和限制包的技术。
基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫包过滤（Packet Filtering）。其技术原理在于加入IP过滤功能的路由器逐一审查包头信息，并根据匹配和规则决定包的前行或被舍弃，以达到拒绝发送可疑的包的目的。过滤路由器具备保护整个网络、高效快速并且透明等优点，同时也有定义复杂、消耗CPU资源、不能彻底防止地址欺骗、涵盖应用协议不全、无法执行特殊的安全策略并且不提供日志等局限性。包过滤技术的二、特点
1、优点 ：对小型的、不太复杂的站点包过滤较容易实现。
（1）一个过滤路由器能协助保护整个网络。绝大多数Internet防火墙系统只用一个包过滤路由器；
（2）过滤路由器速度快、效率高。执行包过滤所用的时间很少或几乎不需要什么时间，由于过滤路由器只检查报头相应的字段，一般不查看数据报的内容，而且某些核心部分是由专用硬件实现的，如果通信负载适中且定义的过滤很少的话，则对路由器性能没有多大影响；
（3）包过滤路由器对终端用户和应用程序是透明的。当数据包过滤路由器决定让数据包通过时，它与普通路由器没什么区别，甚至用户没有认识到它的存在，因此不需要专门的用户培训或在每主机上设置特别的软件。
2、缺点及局限性：
他们很少有或没有日志记录能力，所以网络管理员很难确认系统是否正在被入侵或已经被入侵了。这种防火墙的最大缺陷是依赖一个单一的部件来保护系统。

（1）定义包过滤器可能是一项复杂的工作。因为网管员需要详细地了解Internet各种服务、包头格式和他们在希望每个域查找的特定的值。如果必须支持复杂的过滤要求的，则过滤规则集可能会变得很长很复杂，并且没有什么工具可以用来验证过滤规则的正确性。
（2）路由器信息包的吞吐量随过滤器数量的增加而减少。路由器被优化用来从每个包中提取目的IP地址、查找一个相对简单的路由表，而后将信息包顺向运行到适当转发接口。如果过滤可执行，路由器还必须对每个包执行所有过滤规则。这可能消耗CPU的资源，并影响一个完全饱和的系统性能。
（3）不能彻底防止地址欺骗。大多数包过滤路由器都是基于源IP地址、目的IP地址而进行过滤的，而IP地址的伪造是很容易、很普遍的。
（4）一些应用协议不适合于数据包过滤。即使是完美的数据包过滤，也会发现一些协议不很适合于经由数据包过滤安全保护。如RPC、X- Window和FTP。而且服务代理和HTTP的链接，大大削弱了基于源地址和源端口的过滤功能。
（5）正常的数据包过滤路由器无法执行某些安全策略。例如，数据包说它们来自什么主机，而不是什么用户，因此，我们不能强行限制特殊的用户。同样地，数据包说它到什么端口，而不是到什么应用程序，当我们通过端口号对高级协议强行限制时，不希望在端口上有别的指定协议之外的协议，而不怀好意的知情者能够很容易地破坏这种控制。
（6）一些包过滤路由器不提供任何日志能力，直到闯入发生后，危险的封包才可能检测出来。它可以阻止非法用户进入内部网络，但也不会告诉我们究竟都有谁来过，或者谁从内部进入了外部网络。