在IP包过滤中状态TCP包的过滤研究与设计

摘要

IP包过滤防火墙是构造整体网络安全系统的必不可少的部分.传统的IP包过滤防火墙有许多的缺陷,解决方法之一是使防火墙具有状态过滤能力.以TCP为例,状态过滤机制不仅能根据ACK标志和源、目的地址及端口号进行过滤,还能根据TCP包里的序列号和窗口大小来决定对该包的操作.这样可以防止一些利用TCP滑动窗口机制的攻击.在IP包过滤里加入状态过滤机制不仅能阻止更多的恶意包通过,还能提高IP包过滤的过滤速率(这对防火墙来说是很重要的).