基于Linux系统的包过滤防火墙(2)

　　过滤路由器会更加仔细地检查数据包，除了决定是否有到达目标地址的路径外，还要决定是否应该发送数据包。“应该与否”是由路由器的过滤策略决定并强行执行的。

　　路由器的过滤策略主要有：

　　* 拒绝来自某主机或某网段的所有连接。

　　* 允许来自某主机或某网段的所有连接。

　　* 拒绝来自某主机或某网段的指定端口的连接。

　　* 允许来自某主机或某网段的指定端口的连接。

　　* 拒绝本地主机或本地网络与其它主机或其它网络的所有连接。

　　* 允许本地主机或本地网络与其它主机或其它网络的所有连接。

　　* 拒绝本地主机或本地网络与其它主机或其它网络的指定端口的连接。

　　* 允许本地主机或本地网络与其它主机或其它网络的指定端口的连接。

　　1.1.4 包过滤器操作的基本过程

　　下面做个简单的叙述：

　　（1）包过滤规则必须被包过滤设备端口存储起来。

　　（2）当包到达端口时，对包报头进行语法分析。大多数包过滤设备只检查IP、TCP、或UDP报头中的字段。

　　（3）包过滤规则以特殊的方式存储。应用于包的规则的顺序与包过滤器规则存储顺序必须相同。

　　（4）若一条规则阻止包传输或接收，则此包便不被允许。

　　（5）若一条规则允许包传输或接收，则此包便可以被继续处理。

　　（6）若包不满足任何一条规则，则此包便被阻塞。

　　1.1.5 包过滤技术的优缺点

　　（1）优点：

　　→对于一个小型的、不太复杂的站点，包过滤比较容易实现。

　　→因为过滤路由器工作在IP层和TCP层，所以处理包的速度比代理服务器快。

　　→过滤路由器为用户提供了一种透明的服务，用户不需要改变客户端的任何应用程序，也不需要用户学习任何新的东西。因为过滤路由器工作在IP层和TCP层，而IP层和TCP层与应用层的问题毫不相关。所以，过滤路由器有时也被称为“包过滤网关”或“透明网关”，之所被称为网关，是因为包过滤路由器和传统路由器不同，它涉及到了传输层。

　　→过滤路由器在价格上一般比代理服务器便宜。