防火墙有两种:软件和硬件防火墙。防火墙可以过滤计算机,家庭网络或公司网络与Internet之间的所有网络流量。
防火墙通常位于专用网络和公用网络或因特网之间,被保留在私有网络和公共网络或因特网的边界中。
数据包过滤路由器是第一代防火墙体系结构。数据包筛选防火墙在OSI模型的网络级别或TCP / IP的IP层上工作。这种结构可以为网络提供便宜且有用的安全级别。根据路由器的类型,可以在传入,传出接口或两个接口上进行过滤。
数据包过滤器通过对每个传入或传出数据包应用一组规则来工作,而这些规则是根据企业的网络安全策略定义的。根据这些规则,防火墙可以转发或丢弃数据包。
数据包过滤路由器能够基于以下内容过滤IP数据包:
(1)源IP地址
(2)目的IP地址
(3)TCP / UDP源端口
(4)TCP / UDP目标端口
数据包过滤器也可以很好地阻止欺骗性数据包。它也可以用于阻止来自特定主机或网络的连接。
但是,数据包过滤器还是有一些缺点的:
首先,数据包过滤器不了解应用程序层协议。
还有,数据包过滤器不提供任何增值功能,例如HTTP对象缓存,URL过滤和身份验证,因为它们不了解所使用的协议。
并且,数据包过滤器没有任何基于用户的身份验证,无法验证来自特定用户的信息。数据包过滤路由器也不是很安全。难以为路由器设置数据包过滤规则。