为何封包过滤遭到控制?

‍

第一代硬件防火墙支持封包过滤(数据包过滤)，该功能可查看每一个数据包的源IP地址和目标IP地址，端口和协议。数据包本身就是流入和流出网络的实际流量/数据。数据包过滤通过ACL(访问控制列表)进行控制。ACL指定哪一个IP地址;允许端口和协议进出网络。这些ACL是规则，从上而下的方法开始工作，因此首先要分析最高的规则，然后向下进行直到遇到规则为止。如果没有规则匹配，那末通常最后是谢绝所有规则，这将谢绝该数据包。在ACL中，首先配置更具体的规则，然后配置一般规则，最后配置“谢绝所有”规则。

如今，数据包过滤依然是硬件防火墙的核心，但仅靠它本身不足以完全保护内部网络。可以将防火墙配置为禁止某些IP地址和服务进出网络通讯，但是，防火墙也一定要允许某些IP地址和服务进出网络，以便与外界通讯。需要控制允许的这些服务，并检查歹意流量。

为何封包过滤遭到限制?

封包过滤禁止所有内容进入网络，但是允许端口80允许外部用户访问公司网站。这就是包过滤将要进行的范围。这些类型的旧传统硬件防火墙将没法禁止黑客可以利用的利用程序层。现在，允许访问此特定网站的流量如何进行检查和控制?这是利用层代理(例如HTTP代理)的工作，现今大多数防火墙都支持。

数据包过滤非常有效，但也有局限性，突出的一些问题是它们没法在利用程序层上扫描歹意流量，没法分辨IP地址会不会被欺骗，日志功能有限等。因此，防火墙还一定要在包过滤器(例如UTM功能)旁边还支持其他聪明的保护功能和技术，以便在网关上提供更完全的安全策略。