包过滤防火墙又被称为访问控制表,它根据定义好的过滤规则审查每个数据包并确定数据包是否与过滤规则匹配,从而决定数据包是否能通过。这种防火墙可以与现有的路由器集成,也可以用独立的包过滤软件实现,而且数据包过滤对用户透明,成本低、速度快、效率高。其不足之处如下。 1包过滤技术的主要依据是包含在IP包中的各种信息,但IP包中信息的可靠性没有保证,IP源地址可以伪造,通过内部合谋,入侵者轻易就可以绕过防火墙。 2并非所有的服务都绑定在静态端口。包过滤只可以过滤IP地址,所以它不能识别相同IP地址下的不同用户,从而不具备身份认证功能。 3工作在网络层,不能检测那些对高层进行的攻击。 4如果为了提高安全性而使用很复杂的过滤规则, 那么效率就会大大降低。 应用程序代理防火墙可以配置成允许来自内部网络的任何连接, 它也可以配置成要求用户认证后才建立连接, 为安全性提供了额外的保证。如果网络受到危害, 这个特征使得从内部发动攻击的可能性减少。 代理型防火墙的优点是安全性较高, 可以针对应用层进行侦测和扫描, 对付基于应用层的侵入和病毒都十分有效。 其缺点是对系统的整体性能有较大的影响, 而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置, 大大增加了系统管理的复杂性。 TCSEC 将计算机系统的安全划分为4个等级,其中Unix和Windows NT操作系统符合 () 安全标准
A.A 级
B.B 级
C.C 级
D.D 级