包过滤防火墙是一种通过软件检查数据包以实现系统安全防护基本手段,以下叙述中,不正确是( )。
本题考查包过滤防火墙基础知识。
包过滤防火墙是一种通过软件检查数据包以实现系统安全防护基本手段,数据包过滤用在内部主机和外部主机之间,过滤系统可以是一台路由器或是一台主机。
通常通过查看所流经数据包包头来决定整个包命运,可能会决定丢弃这个包,可能会接受这个包(让这个包通过),也可能执行其他更复杂动作。具体来说,包过滤防火墙通常根据数据包源地址、目地址、端口号和协议类型等标志设置访问控制列表实现对数据包过滤。
包过滤是在IP层实现,包过滤根据数据包源IP地址、目IP地址、协议类型(TCP包、UDP包、ICMP包)、源端口、目端口等包头信息及数据包传输方向等信息来判断是否允许数据包通过。
当网络规模比较复杂时,由于包过滤防火墙要求逻辑一致性、封堵端口有效性和规则集正确性等原因,会导致访问控制规则复杂,难以配置管理。
